CYFIRMAはこのほど、「DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store - CYFIRMA」において、悪意のあるAndroidアプリがGoogle Playストアで配布されているとして、注意を喚起した。「SecurITY Industry」というアカウントでホストされているAndroidアプリにマルウェアが埋め込まれていることが明らかになった。

  • DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store - CYFIRMA

    DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store - CYFIRMA

情報窃取型マルウェアの特徴を持つ不正なAndroidアプリがGoogle Playストアを通じで配布されていることがわかった。カシミール地域のユーザーを標的とした悪名高い持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「DoNot」によるサイバー犯罪とみられており、より破壊的な機能を持つマルウェアを使用した第2段階のサイバー攻撃を実現するための情報窃取が主な動機と考えられている。

  • Suspicious apps on Google Play Store - CYFIRMA

    Suspicious apps on Google Play Store - CYFIRMA

Google Playストアで配信されている不正なAndroidアプリは次のとおり。

  • iKHfaa VPN - VPNアプリ
  • nSure Chat - Chatアプリ

どちらのアプリもインストール後に、連絡先や位置情報にアクセスするための権限を求めてくることが確認されている。主な被害者はパキスタンを拠点とするユーザーとされ、TelegramやWhatsAppなどのメッセージングアプリを利用したスピアメッセージングにより拡散されていたことも報告されている。Androidユーザーは、Google Playストアといった公式のアプリストアで配布されたアプリであっても、インストールする際は注意するとともに不必要に権限を与えないことが推奨される。