スパイウェアに感染したWhatsAppメッセンジャーの改造アプリ

当社のリサーチャーは、スパイウェアに感染したWhatsAppの改造版がTelegramチャンネルやWhatsApp Modを扱うサードパーティのWebサイトを通じて配信されているのを発見しました。

過去10年間で、ほぼすべてのインターネットユーザーがWhatsAppやTelegramなどのメッセンジャーアプリを使用するようになりました。何十億人もの人がこれらのアプリを使用して、愛する人とチャットしたり、面白い写真やビデオを共有したり、同僚への業務連絡に使用したり、ニュースをチェックしたりしています。メッセンジャーがない現代の生活を想像してみてください。連絡を取り合うのに大変苦労するでしょう。このように私たちの生活に不可欠なアプリには、残念ながら脅威が隠れている場合があります。

改造版WhatsAppとTelegramアプリ:発生した事例とその原因

公式のWhatsAppやTelegramアプリには、機能が不足していると考える人もいます。インターフェイスをカスタマイズするオプションの追加や、個人の事情に役立つ何かの機能が欲しいということでしょう。たとえば、チャットを非表示にする機能、メッセージの自動翻訳機能、チャットの相手が削除したメッセージの表示機能などです。

サードパーティのデベロッパーは、「Mod」とも呼ばれる標準のWhatsAppやTelegramアプリの改造版を作成し、極めて特殊なユーザーのニーズにも応えています。このようなModは数多く存在します。

Modをインストールする際の問題は、メッセンジャーのオリジナル開発者のみならず、悪意のあるモジュールを簡単に隠蔽できるModの開発者にも通信を委ねる必要があるという点です。また、Modの配信者も、自身のModを追加する可能性があります。

WhatsAppの場合、所有者であるMetaによってModを取り巻く状況はより複雑になっています。Metaは、サードパーティ開発者による改造を認めておらず、Modの配信を阻止しいます。また時々、ユーザーがModを使用するのを禁止しよう試みていますが、あまりうまくはいっていません。一方で、WhatsAppの代替アプリをGoogle PlayやApp Storeなどの公式ストアから排除することにはある程度成功しています。

その結果、WhatsApp Modのユーザーは、様々な非公式のプラットフォームからModをダウンロードしています。APKファイルを堂々とダウンロードし、不明なソースからのインストールを許可するように設定を切り替え、スマホでModを実行します。これは極めて危険な行為です。それをサイバー犯罪者は悪用し、Modにマルウェアを埋め込みます。

当社のエキスパートは最近、感染したModを発見しました。この投稿ではそれらについて見ていきます。

感染したWhatsAppのModがTelegramチャネルで配信される

当社のエキスパートが注目したWhatsApp Modには、以前は悪意のある活動が見られませんでした。しかし最近、スパイモジュールが仕込まれているのを確認し、当社のソリューションはこれをTrojan-Spy.AndroidOS.CanesSpyとして検知しています。

感染したWhatsAppのModが被害者のスマホにインストールされた後、スマホの電源が入る、または充電されるまで待ってから、スパイモジュールを起動します。各種のリストの中からC2サーバーの一つにアクセスし、電話番号、IMEI、携帯電話ネットワークコードなど、デバイスに関する様々な情報をアップロードします。さらに、このスパイウェア型トロイの木馬は、被害者の連絡先やアカウントに関する情報を5分ごとにサーバーに送信し、その間コマンドを待ち続けます。

サービスコマンドは別として、スパイモジュールの機能は基本的に次の2つに集約されます:

  • デバイスを検索し、スマホのメモリ(正確には非システム部分、Android用語で「外部ストレージ」)に含まれるオペレーターファイルを送信します。
  • 内蔵マイクから音声を録音し、前回と同様に録音データをC2に送信します。

スパイウェアの感染経路について、感染したWhatsAppの改造版はアラビア語やアゼルバイジャン語のTelegramチャネルで発見されました。改造版には、GBWhatsApp、WhatsApp Plus、AZE PLUS(アゼルバイジャン語にインターフェイスが翻訳されたWhatsApp Plusバージョン)など、人気のあるModの名前が付けられていました。

スパイウェアに感染したWhatsAppのModは、主にアゼルバイジャン語とアラビア語のTelegramチャネルで配信されていた

スパイウェアに感染したWhatsAppのModは、主にアゼルバイジャン語とアラビア語のTelegramチャネルで配信されていた

さらに、当社のエキスパートは、WhatsApp ModのダウンロードWebサイトでスパイモジュールに感染したAPKファイルを発見しました。

10月、当社のセキュリティソリューションは、100か国以上でこのスパイウェアを使用した34万回を超える攻撃を検知し、阻止しました。繰り返しますが、この数字は当社のソリューションが阻止した攻撃です。当社のソリューションがインストールされていないスマホを考えると、この攻撃の合計数は、さらに膨れ上がる可能性があります。

この脅威の地理的な広がりは広範囲に及びますが、感染が最も多く確認されたのはアゼルバイジャンで、2位以下に大差をつけています。イエメン、サウジアラビア、エジプト、トルコなどが続きます。

WhatsAppのスパイModが配信された上位20か国

WhatsAppのスパイModが配信された上位20か国

メッセンジャーアプリを使用した詐欺から身を守る方法

改造されたメッセンジャーアプリから悪意のあるモジュールが発見されたケースは、2023年においては今回が初めてではありません。数か月前の投稿で、Telegram、WhatsApp、さらにはセキュリティに定評があるメッセンジャーのSignalについても感染したModが存在するという一連の事例を紹介しました。したがって、警戒を続ける必要があります。

  • 公式のWhatsAppアプリとTelegramアプリのみを使用しましょう。これまで見てきたようにメッセンジャーのModはマルウェアに容易に感染します。
  • アプリは公式ストア(AppleのAppStore、GooglePlay、HuaweiAppGalleryなど)からのみインストールしましょう。公式サイトのアプリでもマルウェアに感染するケースがありますが、セキュリティ対策を全く講じていないことが多いサードパーティのWebサイトよりは、はるかに安全です。
  • アプリのインストール前に、まずストアのページをよく読み、偽物でないことを確認してください。悪意のあるユーザーが人気アプリのクローンを作成することはよくあります。
  • アプリのユーザーレビューを読み、否定的なレビューには特に注意してください。不審な動作をするアプリであるかどうかは、レビューを見ればかなりの確率で判断がつきます。
  • すべてのAndroidデバイスに、信頼性が高い保護アプリを必ずインストールしてください。これにより、一見無害に見えるアプリ内の悪意のあるコードが検知され、適切なタイミングで警告が表示されます。
  • 当社のアプリ無料版の場合、手動でスキャンを実行する必要があることを覚えておいてください。
  • Android向けの有料版(カスペルスキー スタンダードカスペルスキー プラスカスペルスキー プレミアムのサブスクリプションに含まれています)を利用する場合は、面倒な操作は必要ありません。脅威のスキャンは自動的に実行されます。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?