Androidマルウェアがロシアのビジネスを監視するためにアンチウイルスを装う

新たに発見されたAndroidスパイウェアキャンペーンがロシアのビジネスエグゼクティブを標的にしており、ロシアの情報機関に関連しているとされるアンチウイルスアプリに偽装しています。これはロシアのサイバーセキュリティ企業Doctor Webによるものです。

このマルウェアはAndroid.Backdoor.916.originとして追跡されており、2025年1月から活動しており、複数のバージョンを経て進化しています。その最大の脅威は、ロシア当局からの公式に見えるセキュリティアプリの仮面の背後に隠れていることにあります。これにより、ロシアのビジネスエグゼクティブや従業員をターゲットにした攻撃を誘引しています。

研究者たちは、このバックドアがカメラを通じてビデオを秘密裏に録画し、キーストロークを記録し、位置情報を追跡し、ファイルを盗み、さらにはTelegramやWhatsAppなどの人気アプリやGmail、Chrome、Yandexなどのブラウザからデータを引き出すことができると述べています。

「公式」セキュリティツールに偽装

悪意のあるアプリはチャットアプリのダイレクトメッセージを通じて配布されており、犠牲者はメッセンジャーアプリでダウンロードリンクを受け取り、「GuardCB」と呼ばれる偽のアンチウイルスに誘導されます。この偽のアンチウイルスは、ロシア連邦中央銀行のエンブレムに似たアイコンを特徴としており、信頼性を高めています。

他のバリアントは「SECURITY_FSB」や単に「FSB」といった名前を使用しており、ロシアの連邦保安庁との関連を示唆しています。インターフェースはロシア語のみで提供されており、このキャンペーンの非常にターゲットを絞った性質を強調しています。

「同時に、そのインターフェースは一つの言語、すなわちロシア語のみを提供します。つまり、この悪意のあるプログラムは完全にロシアのユーザーに焦点を当てています」とDoctor Webの研究者はブログ投稿で書いています。

「これは、ファイル名が「SECURITY_FSB」、「FSB」などの他の検出された修正によって確認されており、サイバー犯罪者がロシアの法執行機関に関連するとされるセキュリティプログラムとして偽装しようとしていることを示しています。」

動作の仕組み

偽のアンチウイルスは、本物のセキュリティソフトウェアツールを模倣して削除を避けるために、シミュレートされたスキャンを実行します。約30%の確率で、1から3の存在しない脅威をランダムに表示し、偽陽性を示します。

インストールされると、アプリはマイク、カメラ、SMS、連絡先、メディアファイル、通話履歴、位置情報、さらにはAndroidのアクセシビリティサービスへのアクセスを含む広範な権限を要求します。

その後、偽のアンチウイルス「スキャン」をシミュレートし、ユーザーに正当性を納得させるために1から3の「脅威」をランダムに報告します。しかし、バックグラウンドでは、コマンド＆コントロール（C2）サーバーに静かに接続し、攻撃者が以下を可能にします：

• マイクからのライブオーディオをストリーミング
• リアルタイムでのビデオまたはデバイス画面の放送
• 連絡先、SMS、通話履歴、保存された写真の盗難
• 入力されたパスワードやプライベートチャットの傍受
• リモートコマンドの実行

Doctor Webは、このマルウェアが非常にターゲットを絞ったものであり、ロシアのユーザーのために特別に設計されており、大規模な感染を意図していないと指摘しています。そのインフラストラクチャにより、マルウェアは15の異なるホスティングプロバイダーを回転させることができ、作成者が持続性と中断への抵抗を考慮して設計したことを示しています。

予防策

現時点では、AndroidユーザーはGoogle Playストアなどの信頼できるソースからのみアプリをダウンロードし、アプリが要求する権限に注意を払い、政府のセキュリティツールを主張するアプリには疑いを持つように促されています。

一方、Doctor Webは自社のアンチウイルスソフトウェアがスパイウェアのすべての既知のバージョンを検出し、削除すると述べています。同社が共有した報告書には、Android.Backdoor.916.originに関連する侵害の指標（IoCs）も含まれており、GitHubリポジトリに公開されています。