Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App
2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。
同社は、2022 Q3 APT Trend レポートで、「SandStrike は、イランで禁止されているバハーイ教を攻撃するために、そのリソースにアクセスする手段として配布されている」と指摘している。
このアプリは、インターネット上の禁止事項を回避するための、VPN 接続を被害者に提供するよう、表向きには設計されている。しかし、被害者のデバイスから、通話ログや連絡先などのデータを密かに吸い上げ、また、リモート・サーバに接続して追加のコマンドをフェッチするように構成されている。
この、ブービートラップされた VPN サービスは、完全に機能するものではあるが、敵対者が管理する Telegram チャンネルを通じて配布されたと言われている。このチャンネルへのリンクは、潜在的な被害者をアプリのダウンロードに誘い込む目的で、Facebook や Instagram に開設された偽の SNS アカウントでも宣伝されている。
2022年8月に発表された Amnesty International の報告書によると、2022年7月31日以降にイラン情報省は、同国内で少なくとも 30人のメンバーを逮捕しているという。この宗教的少数派であるバハーイ教は、イスラエルとつながりのあるスパイであると、イラン当局に迫害されており、襲撃/任意逮捕/家屋の破壊/土地の没収などに遭っている。
Kaspersky のセキュリティ研究者である Victor Chebyshev は、「現在、APT アクターたちは、攻撃ツールの作成や古いツールの改良に精力的に取り組み、新たな悪意のキャンペーンを展開している。彼らの攻撃には、狡猾で予期せぬ方法が用いられる。最近では、SNS を通じてマルウェアを配布し、数カ月以上にわたって検知を回避することを容易に達成している」と述べている。
Android 向けスパイウェアに関しては、10月5日の「RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う」という記事がありますが、手法は似ていてもターゲットは全く異なるようです。ただし、この記事の文中には、「RatMilad スパイウェアとイラン・ベースのハッカー・グループ AppMilad は、モバイル・デバイスのセキュリティに影響を与える環境が変化していることを示している」と記されており、何らかの関連性が推測されます。
IoT OT Security News 
You must be logged in to post a comment.