「Earth Empusa」の標的型攻撃で使用されたAndroid向け不正アプリ「ActionSpy」
トレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。
トレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。
Earth Empusaは、2016年から継続している、iOSの脆弱性を狙う一連のモバイル端末を狙う攻撃に関連していると見られています。そして2020年4月、トレンドマイクロは、チベットで人気のあるAndroidビデオアプリのダウンロードページを偽装したフィッシングページを発見しました。サードパーティのWebストアからコピーされたものと思われるフィッシングページは、ページに挿入された不正なスクリプトの1つがグループに属するドメインでホストされていたことから、Earth Empusaによって作成された可能性があります。ページからダウンロードしたAndroidアプリを確認したところ、スパイウェアであるActionSpyが見つかりました。
2017年頃から存在する可能性のあるActionSpyは、感染したAndroid端末から攻撃者が情報を収集できるようにする情報窃取型不正アプリです。また、Android 端末の「ユーザ補助機能」を悪用して4種類のインスタントメッセージングアプリからチャットログを収集することにより、インスタントメッセージを傍受するように設計されたモジュールも備えています。
ActionSpyを配信するフィッシング攻撃
Earth Empusaのフィッシング攻撃は、モバイル端末ユーザをおびきよせるためにニュースサイトを利用していた「Operation Poisoned News」の手法と類似しています。Earth Empusaもまた、標的となるユーザをフィッシングページにアクセスさせるため、ソーシャルエンジニアリングの手法を利用します。2020年3月には、ウイグル関連のニュースサイトからコピーされたものと見られる複数のニュースサイトが、Earth Empusaのサーバでホストされているのを確認しました。そのようなニュースサイトのページには全て、クロスサイトスクリプティング(XSS)の攻撃を実行するフレームワーク「BeEF」(Browser Exploitation Framework。ブラウザに焦点を当てたペネトレーションテストツール)をロードするためのスクリプトが挿入されていました。標的ユーザがニュースサイトを閲覧しているのを発見すると、攻撃者はBeEFを利用して不正なスクリプトを配信すると考えられます。ただし、トレンドマイクロがこのフィッシングページにアクセスした時には、スクリプトは確認されませんでした。ニュースサイトのページが実際にどのようにユーザへ配布されたかも確認されていません。
継続された調査から、2020年4月下旬に別のフィッシングページが見つかりました。このページはサードパーティのWebストアからコピーされたもので、フレームワーク「BeEF」と、情報収集ツール「ScanBox」をロードする、2つのスクリプトが挿入されていました。このフィッシングページは、チベットのAndroidユーザに人気のビデオアプリをダウンロードするようユーザを促します。トレンドマイクロは、Earth Empusaに属するドメインでBeEFフレームワークが実行されていたことから、フィッシングページはグループによって作成されたものと考えています。ダウンロードリンクは、Androidアプリが含まれているアーカイブファイルに変更されていました。解析の結果、このアプリはまだ報告されていないAndroidマルウェアであることが判明し、ActionSpyと命名しました。
「ActionSpy」の詳細
この不正アプリは、Ekranと呼ばれる正規のウイグル語ビデオアプリを偽装します。不正アプリの外観と機能は元のアプリと変わりありません。これは、VirtualAppによって実現することができます。さらに、静的解析と検出を回避するために、アプリケーションセキュリティ「Bangcle」によって保護されています。
正規のアプリEkran のAPKファイルがActionSpyのアセットディレクトリに埋め込まれており、ActionSpyが最初に起動されたとき、VirtualAppの準備ができると仮想環境にインストールされます。
C&CサーバアドレスなどのActionSpyの設定は、DESによって暗号化されます。復号鍵はネイティブコードで生成されます。これにより、ActionSpyの静的解析が困難になります。
ActionSpyは30秒ごとにIMEI、電話番号、製造元、バッテリー残量などの基本的な端末情報を収集し、ハートビートリクエストとしてC&Cサーバに送信します。サーバは、感染端末で実行するためのいくつかのコマンドを返す場合があります。C&CとActionSpyの間のすべての通信トラフィックはRSAによって暗号化され、HTTP経由で転送されます。
ActionSpyは次のモジュールを利用します。
| モジュール名 | 説明 |
| location | デバイスの位置情報(緯度と経度)を取得 |
| geo | 州、市、区、番地などの地理的領域情報を取得 |
| contacts | 連絡先情報を取得 |
| calling | 通話ログの取得 |
| sms | SMSメッセージを取得 |
| nettrace | ブラウザのブックマークを取得 |
| software | インストールされたアプリの情報を取得 |
| process | 実行中のプロセスを取得 |
| wifi connect | 特定のWi-Fiホットスポットに端末を接続 |
| wifi disconnect | 端末をWi-Fiから切断 |
| wifi list | 利用可能なすべてのWi-Fiホットスポット情報を取得 |
| dir | txt、jpg、mp4、doc、xlsなどSDカード上の特定のタイプのファイル一覧を収集 |
| file | 端末からC&Cサーバにファイルをアップロード |
| voice | 環境を録音 |
| camera | カメラで写真を撮影 |
| screen | スクリーンショットを取得 |
| WeChatディレクトリの構造を取得 | |
| wxfile | WeChatから受信または送信されたファイルを取得 |
| wxrecord | WeChat、QQ、WhatsApp、Viberのチャットログを取得 |
Androidユーザ補助機能の悪用
通常、サードパーティのアプリは、Android上の他のアプリに属するファイルにアクセスできません。このため、ActionSpyがWeChatなどのメッセージングアプリからチャットログファイルをroot権限なしで直接窃取することが難しくなっています。そのためActionSpyは、間接的なアプローチを採用しています。メモリをクリーニングするサービスであると主張してユーザを欺き、「ユーザ補助」設定をオンにするように促します。
「ユーザ補助」が有効になると、ActionSpyは端末のユーザ補助イベント(AccessibilityEvent)を監視します。これは、ユーザーインターフェイスでボタンのクリック、テキストの入力、ビューの変更などのイベントが発生した場合に実行されます。AccessibilityEventを受信すると、ActionSpyはイベントタイプがVIEW_SCROLLEDまたはWINDOW_CONTENT_CHANGEDかどうかを確認し、イベントがWeChat、QQ、WhatsApp、Viberなどの対象アプリからのものかどうかを確認します。条件がすべて合致した場合、ActionSpyは現在のアクティビティの内容を解析し、ニックネーム、チャットの内容、チャットの時間などの情報を抽出します。すべてのチャット情報はフォーマットされ、ローカルのSQLiteデータベースに保存されます。「wxrecord」コマンドがプッシュされると、ActionSpyはデータベース内のチャットログを収集しJSON形式に変換してC&Cサーバに送信します。
証明書の署名時刻が「2017-07-10」であることから、ActionSpyは少なくとも過去3年間にわたり存在していることがわかります。また、2017年に作成された、古いActionSpyバージョンをいくつか入手することができました。
iOS端末を感染させるEarth Empusaの水飲み場攻撃
Earth Empusaは、iOS端末ユーザを標的とする水飲み場攻撃も実行しています。グループは、標的とするユーザがアクセスする可能性のあるWebサイトに、不正なスクリプトを挿入していました。以下の2種類の不正なスクリプトが挿入された、侵害されたWebサイトが確認されています。
・上述の情報収集ツールのフレームワーク、「ScanBox」が挿入されたWebサイト。ScanBoxは、JavaScriptを使用してキー入力を記録し、ユーザの端末からOS、ブラウザ、およびブラウザプラグインのプロファイルを収集することによってWebサイトの訪問者の情報を収集できる。ScanBoxは通常、標的ユーザについて調査する偵察段階で使用され、攻撃の次の段階に備える
・iOSの脆弱性を攻撃するエクスプロイトチェーンのフレームワークが挿入されたWebサイト。ユーザがフレームワークにアクセスすると、HTTPリクエストのUser-Agentヘッダをチェックして、ユーザの端末のiOSバージョンを判別し、対応するエクスプロイトコードで応答する。ユーザエージェントがユーザ端末のiOSバージョンのいずれにも属していない場合、エクスプロイトコードは配信されない
2020年の第1四半期には、iOSの新しいバージョンに対応できるようにエクスプロイトチェーンのフレームワークが更新され、iOSバージョン12.3、12.3.1、12.3.2が攻撃対象に加わりました。脆弱性攻撃の更新についての詳細は、他のリサーチャからも報告されています。
2020年の初めから、ウイグル関連の複数のサイトにおいて上述のようなインジェクションを確認しています。さらに、同様の攻撃で侵害されスクリプトを挿入されたトルコのニュースサイトと政党のWebサイトも特定され、最近では、2020年3月に大学のWebサイトと台湾を拠点とする旅行代理店のWebサイトで同様のインジェクションが確認されています。これらのことから、トレンドマイクロでは、Earth Empusaが標的範囲を拡大していると考えています。
Earth Empusaは依然として非常に活発です。トレンドマイクロは、Earth Empusaが攻撃対象を拡大し、新しい攻撃方法を開発し続ける限り、追跡および監視してまいります。
トレンドマイクロの対策
iOSユーザは、端末を最新の状態にアップデートしてください。また、Androidユーザは不正アプリの被害に遭わないようにするため、Google Playなどの信頼できるソースからのみアプリをインストールしてください。
トレンドマイクロクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の機能である「Mobile App Reputation Service(MAR)」では、主要なサンドボックスおよび機械学習技術を使用してAndroidおよびiOSの脅威に対応し、マルウェア、ゼロデイおよび既知の脆弱性攻撃、プライバシーの流出、およびアプリケーションに潜む脆弱性からユーザを保護します。個人向けiOSおよびAndroid端末向け製品「ウイルスバスターモバイル」および法人向け「Trend Micro™ Mobile Security」ではMARSを利用した対策機能を実装しています。同時にデバイス所有者のデータおよびプライバシーを保護する多層セキュリティ機能と、ランサムウェア、不正なWebサイト、IDの窃取からデバイスを保護する機能も利用可能です。
侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡および技術的詳細は、こちら(英語)を参照してください。
参考記事:「New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa」By Ecular Xu and Joseph C. Chen