インド旅行者用のアプリケーションで発見した未知のAndroidスパイウェアのモジュールは、スパイ行為を行う「GravityRAT」と関連していることが分かりました。背後にいる攻撃活動グループはマルチプラットフォーム化に注力しており、Windowsに加え、AndroidとmacOS向けのモジュールも見つかっています。
[本リリースは、2020年10月19日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのリサーチャーは、インド旅行者用のアプリケーションで未知のAndroidスパイウェアのモジュールを発見しました。調査の結果、この悪意のあるモジュールは、スパイ行為を行うリモートアクセス型トロイの木馬(Remote Access Trojan:RAT)の「GravityRAT」と関連していることが判明しました。このマルウェアの背後にいる攻撃活動グループは、マルチプラットフォーム化に注力しており、Windowsに加え、現在ではAndroidとmacOS向けのモジュールもあります。また、正規アプリケーションに見せるためにデジタル署名を使用しています。このマルウェアを使用した攻撃活動は現在も継続しており、インドを中心に標的とした個人に悪意のあるアプリケーションをダウンロードさせ、感染を試みています。
「GravityRAT」の開発概要は、2018年にサイバーセキュリティ業界のリサーチャーによって公開されました。このマルウェアはインド軍に対する標的型攻撃で使用されており、当社のデータによると、攻撃活動は少なくとも2015年から始まり、主にWindowsを標的としていました。しかし数年前にこの状況は変わり、攻撃活動グループはAndroidも標的対象に加えていました。
今回特定したモジュールがこの変化を裏付ける要素となりましたが、このマルウェアが典型的なAndroid用スパイウェアとは異なる部分も見つかりました。例えば、多くの場合、悪意のある攻撃を実行するために選ばれる特定のアプリケーションが使われておらず、悪意のあるコードも既知のスパイウェアのコードには基づいていませんでした。このことがきっかけで、当社のリサーチャーは、特定したモジュールを既知の高度サイバー攻撃(APT)ファミリーと照らし合わせることにしました。
攻撃活動に使用された指令サーバーのIPアドレスを分析したところ、「GravityRAT」に関連するとみられる悪意のあるモジュールが複数見つかりました。これまでに発見した「GravityRAT」のバージョンは10を超え、ユーザーのデバイスを暗号化型トロイの木馬から保護する安全なファイル共有アプリケーションやメディアプレーヤーといった、正規のアプリケーションに偽装して配布され、Windows、Android、macOSへの感染が可能になっていました。
このスパイウェアの持つ機能は標準的で、例えば、デバイスのデータ、連絡先リスト、メールアドレス、通話ログ、SMSメッセージを窃取し、指令サーバーに送信していました。また、デバイスのメモリ内や接続されたメディア内で、拡張子が .jpg、 .jpeg、 .log、 .png、 .txt、 .pdf、 .xml、 .doc、 .docx、 .xls、 .xlsx、 .ppt、 .pptx、 .opusのファイルを探索し、指令サーバーに送信します。
Kasperskyのセキュリティリサーチャー タチアナ・シシュコヴァ(Tatyana Shishkova)は、次のように述べています。「私たちの調査では、GravityRATの攻撃グループが継続してスパイ能力の向上に注力していることが分かりました。巧妙に偽装し、攻撃対象のOSが拡大したことから、アジア太平洋地域でこのマルウェアによるインシデントが今後増えていくことが予想できます」
「GravityRAT」の詳細やIoCなど詳しくは、Securelistブログ「GravityRAT: The spy returns」(英語)をご覧ください。