カスペルスキー、スパイ行為を行なうリモートアクセス型トロイの木馬「GravityRAT」と関連する未知のAndroidスパイウェアのモジュールを発見
- 2020/11/02 10:00
- SecurityInsight
カスペルスキーは10月30日、同社のリサーチャーがインド旅行者用のアプリケーションで未知のAndroidスパイウェアのモジュールを発見したことを発表した。調査の結果、この悪意のあるモジュールは、スパイ行為を行なうリモートアクセス型トロイの木馬(Remote Access Trojan:RAT)の「GravityRAT」と関連していることが判明したという。調査結果の報告は以下のようになっている。
このマルウェアの背後にいる攻撃活動グループは、マルチプラットフォーム化に注力しており、Windowsに加え、現在ではAndroidとmacOS向けのモジュールもある。また、正規アプリケーションに見せるためにデジタル署名を使用している。このマルウェアを使用した攻撃活動は現在も継続しており、インドを中心に標的とした個人に悪意のあるアプリケーションをダウンロードさせ、感染を試みている。
「GravityRAT」の開発概要は、2018年にサイバーセキュリティ業界のリサーチャーによって公開された。このマルウェアはインド軍に対する標的型攻撃で使用されており、カスペルスキーのデータによると、攻撃活動は少なくとも2015年から始まり、主にWindowsを標的としていた。しかし数年前にこの状況は変わり、攻撃活動グループはAndroidも標的対象に加えていた。
攻撃活動に使用された指令サーバーのIPアドレスを分析したところ、「GravityRAT」に関連するとみられる悪意のあるモジュールが複数見つかった。これまでに発見した「GravityRAT」のバージョンは10を超え、ユーザーのデバイスを暗号化型トロイの木馬から保護する安全なファイル共有アプリケーションやメディアプレーヤーといった、正規のアプリケーションに偽装して配布され、Windows、Android、macOSへの感染が可能になっていた。
このスパイウェアの持つ機能は標準的で、例えばデバイスのデータ、連絡先リスト、メールアドレス、通話ログ、SMSメッセージを窃取し、指令サーバーに送信していた。また、デバイスのメモリー内や接続されたメディア内で、拡張子が .jpg、 .jpeg、 .log、 .png、 .txt、 .pdf、 .xml、 .doc、 .docx、 .xls、 .xlsx、 .ppt、 .pptx、 .opusのファイルを探索し、指令サーバーに送信する。