The Hacker Newsは4月11日(現地時間)、「SpyNote, BadBazaar, MOONSHINE Malware Target Android and iOS Users via Fake Apps」において、Google Playを装う新しいマルウェア配布キャンペーンが発見されたと伝えた。

セキュリティ企業「DomainTools」の調査チームにより発見されたこのキャンペーンでは、英語および中国語のGoogle Playサイトを偽装し、Android向け遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を配布したとみられる(参考:「Newly Registered Domains Distributing SpyNote Malware - DomainTools Investigations | DTI」)。

  • SpyNote、BadBazaar、MOONSHINE Malware Target Android and iOS Users via Fake Apps

    SpyNote, BadBazaar, MOONSHINE Malware Target Android and iOS Users via Fake Apps

侵害経路

DomainToolsの調査によると、今回発見された詐欺サイトにはアプリのスクリーンショットを紹介する画像カルーセル(横スクロール方式の画像表示)が存在し、正規サイトと同じ視覚効果を実現しているという。

詐欺サイトは英語および中国語を使用しており、Webサイトのコードおよびマルウェア本体からも中国語のコメントが発見されている。DomainToolsは攻撃者の明確な帰属先について不明としながらも、これらの証拠から中国との関連が疑われると指摘している。

  • Google Playをコピーした詐欺サイトの例 - 引用:DomainTools

    Google Playをコピーした詐欺サイトの例 引用:DomainTools

被害者がこの詐欺サイトの画像などをクリックすると、悪意のあるAPKファイルのダウンロードが開始される。このAPKファイルは遠隔操作型トロイの木馬「SpyNote」のドロッパーとされ、インストールするとSpyNote本体が別アプリとしてインストールされる。

  • 侵害経路の概念図 - 引用:DomainTools

    侵害経路の概念図 引用:DomainTools

DomainToolsの分析により明らかになったSpyNoteの主な機能は次のとおり。

  • 高度な永続性の確保
  • デバイスを広範囲に制御
  • SMSメッセージ、連絡先、通話履歴、位置情報、ファイルなどの窃取
  • カメラとマイクの起動
  • 通話操作
  • 任意のコマンド実行
  • 強力なキーロガー
  • データの消去
  • デバイスのロック
  • アプリのインストール

SpyNoteには高度な永続性があり、完全に削除するには多くのケースで工場出荷時に戻す必要があるとされる。

脅威アクターの正体

The Hacker Newsはセキュリティ企業「Zimperium」の分析から、中国語圏の人物が攻撃に関与している可能性があると指摘している。分析によるとSpyNoteとマルウェア「Gigabud」の間には関連性があり、これらマルウェアの背後には同じ脅威アクター(またはグループ)が存在する可能性が高いとされる(参考:「A Network of Harm: Gigabud Threat and Its Associates - Zimperium」)。

Gigabudは中国語を話す脅威アクター「GoldFactory」に起因するとみられており、SpyNoteにもGoldFactoryの関与があると推測されている。

詐欺サイトに警戒を

DomainToolsはAndroidデバイスを標的とするSpyNoteについて次のように述べ、詐欺サイトにdama されないよう注意を喚起している。

SpyNoteの幅広い機能はスパイ活動やサイバー犯罪の強力なツールとして有効性を強調しており、これらの詐欺キャンペーンの標的となる個人や組織に大きな脅威をもたらします。

調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)は「SecuritySnacks/2025/SpyNote-GooglePlayStore at main · DomainTools/SecuritySnacks · GitHub」に公開されており、必要に応じて活用することが望まれている。