The Hacker Newsは7月19日、「Russian Hackers Tricked Ukrainians with Fake "DoS Android Apps to Target Russia"」において、ロシアの攻撃グループがウクライナ人を標的として「ロシアへの分散型サービス運用妨害(DDoS)攻撃アプリ」を装う悪意のあるAndroidマルウェアを配布していると伝えた。
Googleの脅威分析グループ(TAG: Google Threat Analysis Group)は、この活動をロシアの連邦保安局(FSB)と関連がある「Turla」と呼ばれるサイバー攻撃グループによるものと判断しているという。
発見されたこの偽アプリは、ウクライナ軍のアゾフ連隊を連想させる「Cyber Azov」というWebサイトでホストされていたという。Cyber Azovには、ロシアと戦うためにDDoS攻撃を仕掛けることを呼びかけるメッセージが提示されていた。偽アプリは公式のGoogle Playストアでは配布されておらず、Google TAGによれば実際にインストールされた回数はごくわずかで、Androidユーザーに大きな影響を与える心配はほとんどないとのことだ。
Cyber Azovアプリの配布を行ったTurlaは、「Snake」や「Krypton」、「Uroboros」などさまざまな名称で呼ばれているサイバー攻撃グループである。ロシアによるウクライナ侵攻が開始された後で、ウクライナやウクライナを支援する国に対してサイバー攻撃活動を続けていることが知られている。
Google TAGでは、Turla Cyber Azovアプリの調査中に、ロシアに対するDoS攻撃を行うことを目的とした「StopWar」という別のAndroidアプリも確認したという。2022年3月に最初に確認されたこのアプリは、Turlaとは異なり、親ウクライナの開発者によって開発されたと考えられている。Cyber Azovアプリは、このStopWarアプリにインスピレーションを得て作成された可能性があるとのことだ。
TurlaによるCyber Azovアプリの配布に限らず、Google TAGでは、ロシアと関連が深い複数の脅威アクターによるウクライナに対するさまざまなサイバー攻撃を確認しているという。Google TAGによる次のレポートでは、Cyber Azovアプリに加えて、それらの攻撃活動も紹介されている。