Lookoutは3月12日(米国時間)、「Lookout Discovers North Korean APT37 Mobile Spyware|Threat Intel」において、北朝鮮の国家支援を受けているとみられる脅威アクター「APT37(別名:ScarCruft、RedEyes)」がAndroid向けマルウェア「KoSpy」を配布したと報じた。

  • Lookout Discovers North Korean APT37 Mobile Spyware|Threat Intel

    Lookout Discovers North Korean APT37 Mobile Spyware|Threat Intel

新しいマルウェア配布キャンペーン

Lookoutの調査によると、マルウェアは韓国語と英語圏のユーザーを標的に、公式Google Playストアから配布されたという。発見されたマルウェアを含むアプリは次の5つ。

  • 휴대폰 관리자 (Phone Manager)
  • File Manager
  • 스마트 관리자 (Smart Manager)
  • 카카오 보안 (Kakao Security)
  • Software Update Utility

マルウェア「KoSpy」の機能

マルウェアは起動するとFirebase Firestoreから設定データを取得する。この暗号化されたデータにはマルウェア機能の有効/無効の指定、コマンド&コントロール(C2: Command and Control)サーバのアドレスが含まれている。

データを取得すると、仮想環境で実行されているかどうかを確認して研究者による分析を回避する。次にプラグイン(追加機能)と監視設定をダウンロードし、スパイ活動を開始する。このプラグインについてはダウンロードに失敗し、分析できなかったという。

Lookoutが特定したマルウェア「KoSpy」の基本機能は次のとおり。

  • ショートメッセージサービス(SMS: Short Message Service)のメッセージを窃取
  • 通話ログの窃取
  • デバイスの位置情報を窃取
  • ローカルストレージ上のファイルとフォルダ操作
  • 音声録音およびカメラ撮影とその窃取
  • スクリーンショットおよび画面録画の窃取
  • キーロガー
  • Wi-Fiネットワーク情報の窃取
  • インストール済みアプリ一覧の窃取

影響と対策

配布されたアプリの半数以上が韓国語のアプリ名を使用し、また、表示言語として韓国語および英語をサポートしていることから、主な標的は韓国および英語圏のユーザーとみられている。

  • 悪意のあるアプリ「File Manager」のストア画面 - 引用:Lookout

    悪意のあるアプリ「File Manager」のストア画面 引用:Lookout

Lookoutは攻撃に使用されたインフラストラクチャ、標的、接続情報などに基づき、中程度の信頼性でAPT37の攻撃と推定している。ただし、北朝鮮の脅威アクターはインフラストラクチャ、標的および戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を他脅威アクターと共有する傾向があることから、特定は困難とみられる。

これらアプリはすでにGoogle Playストアから削除され、関連するFirebaseプロジェクトも無効化された。アプリをインストールしているユーザーは、アプリを速やかに削除し、影響を調査することが推奨されている。影響調査が難しい場合や、影響を確実に回避したい場合は、工場出荷時に初期化することが推奨される。