メインコンテンツにスキップする

悪名高いスパイウェア「GravityRAT」がマルチプラットフォーム化し、AndroidとmacOSの攻撃にも利用可能に

2020年10月30日

インド旅行者用のアプリケーションで発見した未知のAndroidスパイウェアのモジュールは、スパイ行為を行う「GravityRAT」と関連していることが分かりました。背後にいる攻撃活動グループはマルチプラットフォーム化に注力しており、Windowsに加え、AndroidとmacOS向けのモジュールも見つかっています。

[本リリースは、2020年10月19日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチャーは、インド旅行者用のアプリケーションで未知のAndroidスパイウェアのモジュールを発見しました。調査の結果、この悪意のあるモジュールは、スパイ行為を行うリモートアクセス型トロイの木馬(Remote Access Trojan:RAT)の「GravityRAT」と関連していることが判明しました。このマルウェアの背後にいる攻撃活動グループは、マルチプラットフォーム化に注力しており、Windowsに加え、現在ではAndroidとmacOS向けのモジュールもあります。また、正規アプリケーションに見せるためにデジタル署名を使用しています。このマルウェアを使用した攻撃活動は現在も継続しており、インドを中心に標的とした個人に悪意のあるアプリケーションをダウンロードさせ、感染を試みています。

「GravityRAT」の開発概要は、2018年にサイバーセキュリティ業界のリサーチャーによって公開されました。このマルウェアはインド軍に対する標的型攻撃で使用されており、当社のデータによると、攻撃活動は少なくとも2015年から始まり、主にWindowsを標的としていました。しかし数年前にこの状況は変わり、攻撃活動グループはAndroidも標的対象に加えていました。

今回特定したモジュールがこの変化を裏付ける要素となりましたが、このマルウェアが典型的なAndroid用スパイウェアとは異なる部分も見つかりました。例えば、多くの場合、悪意のある攻撃を実行するために選ばれる特定のアプリケーションが使われておらず、悪意のあるコードも既知のスパイウェアのコードには基づいていませんでした。このことがきっかけで、当社のリサーチャーは、特定したモジュールを既知の高度サイバー攻撃(APT)ファミリーと照らし合わせることにしました。

攻撃活動に使用された指令サーバーのIPアドレスを分析したところ、「GravityRAT」に関連するとみられる悪意のあるモジュールが複数見つかりました。これまでに発見した「GravityRAT」のバージョンは10を超え、ユーザーのデバイスを暗号化型トロイの木馬から保護する安全なファイル共有アプリケーションやメディアプレーヤーといった、正規のアプリケーションに偽装して配布され、Windows、Android、macOSへの感染が可能になっていました。

このスパイウェアの持つ機能は標準的で、例えば、デバイスのデータ、連絡先リスト、メールアドレス、通話ログ、SMSメッセージを窃取し、指令サーバーに送信していました。また、デバイスのメモリ内や接続されたメディア内で、拡張子が .jpg、 .jpeg、 .log、 .png、 .txt、 .pdf、 .xml、 .doc、 .docx、 .xls、 .xlsx、 .ppt、 .pptx、 .opusのファイルを探索し、指令サーバーに送信します。

Kasperskyのセキュリティリサーチャー タチアナ・シシュコヴァ(Tatyana Shishkova)は、次のように述べています。「私たちの調査では、GravityRATの攻撃グループが継続してスパイ能力の向上に注力していることが分かりました。巧妙に偽装し、攻撃対象のOSが拡大したことから、アジア太平洋地域でこのマルウェアによるインシデントが今後増えていくことが予想できます」

「GravityRAT」の詳細やIoCなど詳しくは、Securelistブログ「GravityRAT: The spy returns」(英語)をご覧ください。

悪名高いスパイウェア「GravityRAT」がマルチプラットフォーム化し、AndroidとmacOSの攻撃にも利用可能に

インド旅行者用のアプリケーションで発見した未知のAndroidスパイウェアのモジュールは、スパイ行為を行う「GravityRAT」と関連していることが分かりました。背後にいる攻撃活動グループはマルチプラットフォーム化に注力しており、Windowsに加え、AndroidとmacOS向けのモジュールも見つかっています。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース