Kaspersky、Androidを標的とする高度なスパイ攻撃活動「PhantomLance」を発見、東南アジアでのサイバー攻撃を継続

[本リリースは、2020年4月28日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチャーは、Android デバイスのユーザーを標的とするサイバー攻撃活動を発見しました。「PhantomLance」と名付けられたこの攻撃活動は、少なくとも2015 年から始まり、現在も継続しています。既知のAPT攻撃グループOceanLotusによるものとみられるこの攻撃活動は、複数のバージョンの複雑なスパイウェア（標的のデータを収集するために作成されたソフトウェア）と、Google Playストア上の多数のアプリを配布手段としています。

2019年7月、他社のセキュリティリサーチャーが、Google Playストア上で新しいスパイウェアのマルウェアサンプルを発見したことを公開しました。Kasperskyのリサーチャーは、このサンプルの機能が公式ストアで見つかる一般的なトロイの木馬とは、精巧さや振る舞いにおいて非常に異なっていることに注視していましたが、その後、このスパイウェアの別のサンプルをGoogle Playストアで見つけることができました。通常、マルウェアの作成者が不正アプリを公式ストアへアップロードした後は、その不正アプリのインストール数を増やして標的を増加させるための宣伝に相当なリソースを費やします。しかしながら、新しく発見したこの不正アプリにはそのような動きが無かったため、それがAPT攻撃を見つけるきっかけとなりました。調査を継続する中で、コードの類似という点から、このスパイウェアの複数のバージョンと多数のサンプルを発見することができました。

発見したすべてのスパイウェアのサンプルの機能は類似しており、主な目的はインストールしたデバイスの情報を収集することでした。基本的な機能は、位置情報、通話ログ、連絡先およびSMSへのアクセスなどで、それほど多くありませんでしたが、既存アプリのリストやAndroidデバイスのモデル、OSのバージョンといったデバイス情報も収集していました。さらに攻撃者は、OSのバージョンや既存アプリなど、特定のデバイスごとの環境に適したペイロードをインストールすることができたため、不必要な機能を排除しアプリに過度な負担をかけずに必要な情報だけを収集していました。

さらに調査を続ける中で、PhantomLanceがGoogle Playストアや非公式のアプリストアAPKPureなどの、さまざまなプラットフォームで配布されていたことが明らかになりました。攻撃者は、不正アプリを正規アプリに見せかけるために、ほぼすべてのマルウェアについてソフトウェア開発に関するGitHubアカウントを登録し、偽の開発者プロフィールを作成していました。また、アプリストアのフィルタリングの仕組みをすり抜けるために、攻撃者がアップロードしたアプリの最初のバージョンには悪意のあるペイロードは含まれていませんでした。その後アップデートされたアプリには、ペイロードとそれらのペイロードをドロップして実行するコードが含まれていました。

Kaspersky Security Network^※1のデータによると、2016年以来、ベトナム、インド、バングラデシュ、インドネシアなどの国々で、約300の感染の試みがAndroidデバイスで確認されています。検知の統計データには副次的な感染も含まれていましたが、ベトナムは攻撃の試行数が最も多い国の一つとして突出していました。攻撃で使用された不正アプリの中には、ベトナム専用に作成されたものもありました。

Kasperskyのリサーチャーは、さまざまな悪意のあるコード間の類似性を検出することができる社内ツールであるマルウェアアトリビューションエンジンによって、PhantomLanceのペイロードがOceanLotusと関連のある古いAndroid攻撃のペイロードに少なくとも20%類似していると判断しました。OceanLotusは、主に東南アジアを標的に、少なくとも2013年以来活動しているサイバー攻撃活動です。さらに、以前発見されていたWindowsとMacOSへのOceanLotusの攻撃活動との重要な共通点がいくつか見つかりました。これらのことから、リサーチャーはPhantomLanceの攻撃をOceanLotusと結び付けることができると確信しています。

Kasperskyは、検知したすべてのサンプルについて、Google Playストア上の正規アプリのオーナーに報告しました。

Kasperskyのグローバル調査分析チーム（GReAT）^※2のセキュリティリサーチャーであるアレクセイ・フィルシュ（Alexey Firsh）は次のように述べています。「この攻撃は、高度な技術を持つサイバー攻撃者がさらに奥深い所で活動し、見つけることが困難になっていることを示す顕著な例です。PhantomLanceは、5年以上前から活動しており、目的を達成するべく高度な技術を使用して、アプリストアのフィルタリングを複数回にわたってすり抜けていました。モバイルデバイスを主な感染対象とする動きがいっそう広がっており、多くの攻撃者が攻撃手法を進化させていることも確認しています。このような進化は、サイバー攻撃者を追跡してさまざまな攻撃の共通点を見つけることができる脅威インテリジェンスと、支援サービスの継続的な向上が重要であることを浮き彫りにしています」

PhantomLance攻撃活動の詳細は、Securelistブログ（英語）「Hiding in plain sight: PhantomLance walks into a market」でご覧いただけます。

※1 Kaspersky Security Network（KSN）
KSNは、世界各地の数百万人の任意のカスペルスキー製品ユーザーから取得したサイバーセキュリティ関連のデータを高度に処理する、クラウドベースの複合インフラストラクチャです。KSNは取得したデータをクラウド上で自動分析することで、すべてのユーザーとパートナーに対して、新しい未知のサイバー脅威に対する最短の応答時間と最高レベルのプロテクションを実現します。すべての情報は、ユーザーの同意を得て取得されています。
※2 Global Research and Analysis Team（GReAT、グレート）
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。