位置情報やSMSなど各種情報を抜き取ってロシアに送信するマルウェアが見つかる

新たに無害なソフトウェアを装って位置情報やSMSなどの各種情報を盗み出してロシアに送信するAndroid向けAPKが発見されました。

Newly found Android malware records audio, tracks your location
https://www.bleepingcomputer.com/news/security/newly-found-android-malware-records-audio-tracks-your-location/

新たにスパイウェアとして機能するAndroid向けAPKについて報告したのは、スペインのサイバーセキュリティ企業S2 Grupoの脅威インテリジェンス部門であるLab52。このAPKはどのようにして配布されたかのは不明ですが、インストールすると「Process Manager」というシステムサービスのように見えるプログラムとして常駐し、ロシアのサーバーに対して位置情報などを送信し続けるとのこと。

問題のAPKを含んだアプリをインストールすると、初回起動時に、位置情報へのアクセス権限・カメラへのアクセス権限・Wi-Fi情報へのアクセス権限・インターネットへのアクセス権限・通話履歴へのアクセス権限・連絡先情報へのアクセス権限・SMSへのアクセス権限・SMSの送信権限・外部ストレージの読み書きの権限など18種の権限に対するアクセスを要求。この要求に応じてアクセス権限を付与すると、ユーザーに発見されにくくするためにアプリドロワーから自らのアイコンを削除し、以下の画像のようにシステムサービスを装ってバックグラウンドで動作を続けます。

そしてバックグラウンドで収集した位置情報やSMSなどの各種個人情報を、82.146.35.240というIPアドレスの、ロシア・イルクーツク州に置かれたサーバーに送信します。

また、友達を紹介したり記事を読んだり星占いをしてみたりといったタスクをこなすとお金がもらえるというアプリ「Roz Dhan」をPlayストアからダウンロードするケースもあったとのこと。

このアプリを強制ダウンロードするという動作はダウンロード回数に応じた手数料を取るためのものだと考えられており、国家が後援するハッカー集団はこのような目先の資金稼ぎを行わずに情報収集活動に徹するため、Lab52は単なる民間ハッカー集団の犯行だとみています。