Google Playにスパイウェアに感染したメッセージアプリ

Telegram、Signal、WhatsAppなど海外で広く使われているメッセンジャーには、多くの代替クライアントアプリがあります。このようなユーザーが改造したサードパーティ製のアプリはModと呼ばれ、一般的に公式クライアントでは利用できない機能をユーザーに提供します。

WhatsAppは、Modを全面的に禁止しており、公式アプリストアから定期的に排除していますが、一方Telegram は、代替クライアントアプリの作成を積極的に奨励しています。そのため、TelegramのModは、まるで山に生えるキノコのように出現しています。しかし、それらの安全性を疑問視する見方は以前からあります。

最近の研究によりますと、メッセンジャーのModは、細心の注意を払って取り扱う必要があります。多くのユーザーは、依然としてGoogle Playストアで「検証」され、公開されているアプリを盲目的に信頼していますが、私たちはその危険性を繰り返し強調してきました。Google Playストアでアプリをダウンロードするとき、ダウンロード数が1億を超えるスキャナーアプリに仕込まれたトロイの木馬、ユーザーを不正に有料購読に登録させるトロイの木馬、バックドア、その他大量のマルウェアに遭遇する可能性があります。

速報：Google Playで中国語版およびウイグル語版のTelegramアプリ発見

最近の話から始めましょう。カスペルスキーの専門家は、複数の感染したアプリをGoogle Playストアで発見しました。それらは、ウイグル語版、簡体字中国語版、繁体字中国語版のサードパーティ製Telegramアプリです。アプリの説明はそれぞれの言語で書かれており、Google Playの公式Telegramページにあるものと類似した画像が使用されています。

公式アプリの代わりに、これらのModをダウンロードするようユーザーを説得するために、開発者は他のクライアントよりも高速だと主張しています。

スパイウェアに感染したTelegramの簡体字、繁体字、ウイグル語版

一見、これらのアプリは、それぞれの言語に対応したインターフェイスを持つ、正規の開発者によって作られたTelegramアプリのように見えます。専門家が詳しく見たところ、見た目も動作も本物とほぼ変わりませんでした。

そして、使用されているコードを詳しくみたところ、このアプリは公式アプリをわずかに修正したバージョンに過ぎないことがわかりました。とはいえ、Google Playのモデレーターが見落としたとみられる小さな変更点が見当たりました。それは、感染したバージョンには追加のモジュールが含まれているということです。メッセンジャー内で何が起こっているかを常に監視し、基本的にはユーザーのすべての通信内容（すべての連絡先、添付ファイル付きの送受信メッセージ、チャット/チャネルの名前、アカウント所有者の名前と電話番号など）をスパイウェア作成者のコマンド＆コントロールサーバーに送信します。ユーザーが名前や電話番号を変更した場合でも、その情報は攻撃者に送信されます。

スパイウェアに感染したバージョンのTelegramとSignal

興味深いことに少し前、ESETの研究者が、別のスパイウェアに感染したTelegramのアプリ、FlyGramを発見しました。これに関しては、公式アプリに見せかけようとさえしていませんでした。代わりに、自身をTelegramの改造版アプリ （つまり、単なるMOD）として位置づけ、Google PlayストアだけでなくSamsungのGalaxyストアにも掲載していました。

さらに興味深いのは、その作成者が模倣したのはTelegramだけではないという点です。彼らは、Signal Plus Messengerと呼ばれる感染したバージョンのアプリを公開しました。さらに、信頼性を高めるために、そのアプリを紹介する Web サイト flygram[.]org および signalplus[.]org まで作成していました。

Signal Plus Messengerと呼ばれる、スパイウェアに感染した偽のアプリ。左はGoogle Playストア、右はSamsungのGalaxyストア（出典）

これらのアプリの内部を見ると、本格的なTelegram/Signalメッセンジャーと変わりませんが、オープンソースコードには悪意のある細工がなされていました。

FlyGramは、被害者のスマートフォンから連絡先、通話履歴、Googleアカウントの情報、およびその他の個人情報を窃取します。さらに、通信の「バックアップコピー」を作成して、攻撃者のサーバー以外の場所に保存します（ただし、この「オプション」は、変更されたメッセンジャーでユーザーが個別に有効化する必要がありました)。

一方、Signal Plusに仕込まれたマルウェアは、被害者のスマートフォンから一定量の情報を直接収集し、気付かれることなく攻撃者のデバイスから被害者のSignalアカウントにログインできるようにし、その後、ほぼリアルタイムですべての通信を傍受する仕組みになっていました。

FlyGramは、2020年7月から2021年1月までGoogle Playストアで公開され、Signal Plusは、2022年7月にアプリストアで公開され、2023年5月にGoogle Playから削除されたことが確認されています。BleepingComputerによりますと、SamsungのGalaxyストアでは、2023年8月末時点でも両方のアプリがまだ利用可能でした。たとえ両方のアプリがこれらのストアから完全に削除されたとしても、気づかずにダウンロードしてしまい、個人情報を窃取されたユーザーがどれだけいたでしょうか。

感染したアプリによる仮想通貨のウォレットアドレスのスプーフィング

そしてほんの数か月前、セキュリティ研究者が、主に暗号通貨の窃取を目的とした、トロイの木馬が仕込まれたWhatsAppとTelegramのバージョンを多数発見しました。これらは、仮想通貨のウォレットアドレスなどの情報を送受信する際、その内容を差し替える機能があります。

感染したバージョンのWhatsApp（左）は、感染していないバージョンの公式WhatsApp（右）を使う受信者へのメッセージで、仮想通貨のウォレットアドレスを差し替え（出典)

さらに、見つかったバージョンの一部は、画像認識を使用して、スマートフォンのメモリに保存されているスクリーンショットからシードフレーズを検索します。シードフレーズとは、暗号資産ウォレットを完全に制御して空にするために使用できる一連の文字列です。

また、Telegramの偽アプリの中には、Telegramクラウドに保存されているユーザープロファイル情報（構成ファイル、電話番号、連絡先、メッセージ、送受信ファイルなど）を窃取するものもありました。基本的に、彼らは他のデバイスで作成された秘密のチャットを除くすべてのユーザーデータを盗み取りました。これらのアプリはGoogle Playストアではなく、さまざまな偽サイトやYouTubeチャンネルを通して配布されていました。

安全を確保する方法

最後に、人気のメッセンジャーアプリの悪意のあるバージョンや、Androidユーザーをターゲットとするその他の脅威から身を守る方法に関するヒントをいくつか紹介します。

• Google Playストアにもマルウェアを含むアプリが存在します。とはいえ、公式ストアはその他サードパーティよりもはるかに安全です。そのため、アプリのダウンロードとインストールには常に公式ストアを使用しましょう。
• この投稿で明らかになったように、人気のあるメッセンジャーの代替クライアントアプリには細心の注意が必要です。オープンソースは、サイバー犯罪者を含む誰でもModを作成することができます。
• 公式ストアにある正規のアプリだと思っても、インストールする前に、そのページをよく読み、それが本当に正規のアプリであることを確認してください。名前だけでなく開発元にも注意してください。サイバー犯罪者は、オリジナルと類似した説明が書かれた、アプリのクローンを作成してユーザーを騙そうと試みることがあります。
• 否定的なユーザーレビューに目を通すようにしましょう。アプリに問題がある場合は、おそらく誰かがすでにそれを見つけて書き込んでいるでしょう。
• また、すべてのAndroidデバイスに信頼性の高いセキュリティソフトを必ずインストールしてください。マルウェアが侵入しようとすると警告が表示されます。
• カスペルスキー セキュリティ & VPNの無料版を使用している場合は、インストール後、アプリを初めて実行する前に、必ずデバイスを手動でスキャンしてください。
• 脅威スキャンは、Android用セキュリティソリューションの完全版で自動的に実行されます。これはカスペルスキー スタンダード、カスペルスキー プラス、および カスペルスキー プレミアムの定期購入プランに含まれています。