戦時下の不安を悪用

「レッドアラート」キャンペーンでは、戦闘状態における不安と緊急性を悪用し、公式の緊急アプリの名前を借りて悪質なバージョンを配布した。偽装アプリのインターフェースは公式アプリと同一で、ユーザーが脅威を識別するのが極めて困難だった。

クラウドセクの分析によると、この偽装アプリはAndroidの組み込みセキュリティ機能をバイパスするため、ユーザーにAPKファイルを直接インストールするよう強制した。この方法により、マルウェアは通常のセキュリティプロトコルを回避することができた。

攻撃者は、緊急時におけるアップデートを装ったSMSフィッシングメッセージを送信し、ユーザーにアプリを直ちにダウンロードするよう促した。公式アプリはGoogle Playのみで提供されているため、キャンペーンではユーザーに直接悪質なAPKをインストールするよう求めた。このプロセスは通常、セキュリティの警告を引き起こす。

データ収集と監視の隠密化

インストール後、偽装アプリはSMS、連絡先、GPS位置情報へのアクセスを要求した。これらは緊急警報機能に必要なものとして提示されたが、実際にはデータの収集と監視を可能にした。

クラウドセクの分析では、マルウェアはデータをローカルで収集し、HTTP POSTリクエストを通じて攻撃者制御のサーバーに送信していることが明らかになった。攻撃者は、戦闘中の空襲中にユーザーのGPS座標を追跡し、避難所の位置や予備軍の身元を特定する可能性がある。

SMSのインボックスを傍受することで、攻撃者は2要素認証をバイパスし、偽情報キャンペーンを展開することができた。クラウドセクは、このキャンペーンを単なるスパイウェアではなく、戦略的・物理的なセキュリティ脅威として分類した。

3段階の感染チェーン

「レッドアラート」.apkの技術的構造は、ユーザーとセキュリティツールから隠蔽するための多段階感染チェーンを備えていた。第1段階では、外側のAPKシェルがパッケージマネージャーフック技術を用いてシステムコールをインターセプトし、公式アプリの資格証明を模倣するハードコードされた証明書を返す。

第2段階では、APKのアセットディレクトリから名前「umgdn」の隠しファイルを抽出し、メモリにDalvik Executableとしてロードして、静的なセキュリティスキャナを回避した。第3段階では、最終的なペイロード「DebugProbesKt.dex」を展開し、完全なスパイウェア機能を起動し、攻撃者制御のサーバーとの通信を確立した。

クラウドセクは、偽装アプリを直ちに削除し、データの残存を避けるためファクトリーリセットを実施するようユーザーに警告した。ネットワーク管理者は、特定のIPアドレスへのすべてのDNSおよびHTTPS通信をブロックし、厳格なモバイル端末管理ポリシーを実施するよう求めた。

組織は、紛争テーマのSMSフィッシング攻撃に関する注意喚起を発行するよう呼びかけられている。特に、イスラエルとイランの危機に関連する攻撃が注目されている。

このキャンペーンは、地理的緊張を悪用して民間人を標的とするサイバー脅威の拡大を示している。