Cisco Japan Blog

悪意のない Android アプリのアップデートに見せかけてモバイルスパイウェアを送り込む Arid Viper

3 min read



  • Cisco Talos は 2022 年 4 月以来、アラビア語圏の Android ユーザーに対するスパイ活動を続けている APT(Advanced Persistent Threat、高度標的型攻撃)グループ Arid Viperpopup_icon による攻撃を追跡してきました。この攻撃では Android パッケージファイル(APK)に仕込んだカスタムモバイルマルウェアを使用して標的の機密情報を収集し、感染したデバイスに他のマルウェアを送り込みます。
  • Arid Viper はガザを拠点としていると考えられていますが、Cisco Talos は、この攻撃がイスラエルとハマスの戦争に何らかの形で関連していることを示す情報も、関連性を否定できる情報も持ち合わせていません。さらに、Talos が法執行機関とのデューデリジェンスを行っている間に、この調査結果の公開が遅れることになりました。
  • この攻撃で使用されたモバイルマルウェアには、Skipped という悪意のないオンライン出会い系アプリと似ている点があります。具体的な類似点を挙げると、アプリケーション開発プラットフォーム上に似たような名前があり、同じ共有プロジェクトが使用されています。これは、Arid Viper が Skipped の開発者とつながっているか、何らかの方法で共有プロジェクトのデータベースに不正にアクセスしたことを示しています。
  • Talos の分析により、Skipped と関連のある偽の出会い系アプリが多数発見されたことから、Arid Viper は今後の攻撃でも別の出会い系アプリを使用する可能性があると考えられます。
  • Arid Viper は、ユーザーにモバイルマルウェアをダウンロードさせるために出会い系アプリのアップデートに見せかけた悪意のあるリンクを共有します。リンクにアクセスするとユーザーのデバイスにマルウェアが送り込まれるという手口です。
  • Arid Viper の Android マルウェアには多くの機能が備わっており、攻撃者はセキュリティ通知を無効にし、ユーザーの機密情報を収集し、侵害されたデバイスに他の悪意のあるアプリを展開できます。

Arid Viper のモバイルマルウェアと悪意のない出会い系アプリとの類似点

この攻撃で Arid Viper が展開したモバイルマルウェアは、悪意のない出会い系アプリ Skipped と類似点があります。アプリケーション開発プラットフォーム Firebase 上に似たような名前があり、同じ共有プロジェクトを使用しているのです。後で詳しく説明しますが、これらの類似点は Arid Viper が Skipped の開発者とつながっている可能性を示しています。ユーザーを騙してマルウェアをダウンロードさせるために悪意のないアプリの特徴を不正にコピーしている可能性もあります。注目に値するのは、正規のアプリ名を利用してユーザーに悪意のあるソフトウェアをダウンロードさせるという手口は、過去にpopup_icon Arid Viper が使用した「ハニートラップpopup_icon」の手口と一致しているということです。

Arid Viper のモバイルマルウェアの名前は「Skipped_Messenger」であり、Skipped を意識しているようです。一部のアプリストアでは Skipped は「Skipped – Chat, Match & Dating」と表示されます。悪意のない Skipped アプリは Google の Firebase メッセージングシステムpopup_iconを使用して通知を送信しますが、「Skipped_Messenger」マルウェアは同システムをコマンドアンドコントロール(C2)チャネルとして使用しています。Google の Firebase メッセージングシステムは、プロジェクトを作成して名前を付け、他の一意の識別子を使用することで機能します。作成したプロジェクトは、認証情報と API キーのセットで保護されます。同じプロジェクトと Firebase データベースを使用するアプリケーションを作成するには、認証情報(API キーと、Firebase プロジェクトのコンソールで生成されるプロジェクト ID とアプリケーション ID)が必要です。

この攻撃で展開された Android マルウェアは Skipped で使用されているものと同じ Firebase データベースを広範囲に使用しますが、マルウェアも悪意のないアプリも独自の異なる認証情報のセット(API キーとクライアント アプリケーション ID)を使用しています。このことから、マルウェアの開発者は悪意のない出会い系アプリで使用されているものと同じ Firebase プロジェクトとバックエンドデータベースにアクセスし、独自の認証情報のセットを生成したと考えられます。

Skipped の Firebase データベースがテストモードで設定された後に公開されてしまい、これを Arid Viper が悪用した可能性も Talos は考慮しましたが、その可能性は低いと思われます。テストモードを使えば、開発者はテスト目的でデータベースを素早く構築できます。このデータベースは、URL を知っていれば誰でも利用できます。テストモードはデータベースの最初の作成時に設定しなければならず、30 日間しか使用できません。この期間を過ぎるとデータベースはロックされるため、公開するにはわざわざ再設定しなければなりません。Skipped の Firebase プロジェクトのドメインのパッシブ DNS データによると、データベースの URL が最初に確認されたのは 2021 年 8 月 9 日であり、Arid Viper のマルウェアがこのインフラを使い始めたのは 2022 年 11 月 11 日です。同マルウェアが Skipped の Firebase プロジェクトを使用したのは、インフラが構築されてからほぼ 1 年後である(かつ、30 日の公開期限を大幅に過ぎている)ことから、データベースが意図せず公開されてしまい、それを Arid Viper が利用した可能性は低いと思われます。

さらに、テストモードでは Firebase プロジェクト全体の管理機能は提供されず、バックエンドデータベースのデータの読み取り機能と書き込み機能のみが提供されます。プロジェクトで API キーを生成し Android マルウェアを登録するには、プロジェクトの管理コンソールでプロビジョニングする必要があります。

最後に、Firebase/Google Cloud プロジェクトが侵害されているという明確な証拠(プロジェクトの元の作成者以外の何者かによって使用された可能性を示す証拠)は見つかっていません。これは、Skipped の開発者が Firebase プロジェクトを Arid Viper の攻撃者と共有した可能性があるという Talos の見解を裏付けるものです。

以下に示すように、今回の攻撃で Arid Viper が使用したマルウェアは、過去の攻撃で使用されたリモートアクセス型トロイの木馬(RAT)に非常によく似ています。Android パッケージ名にせよ、グラフィカル ユーザー インターフェイス(GUI)にせよ、Arid Viper のマルウェアの以前のバージョンはすべて Skipped アプリのように見せかけています。

悪意のあるアプリのハッシュ パッケージ/名称
ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f com[.]dem[.]aitim[.]Skipped_Messenger
9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f com[.]pen[.]lime[.]Skipped_Messenger
8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964 com[.]apps[.]sklite

出会い系アプリ「Skipped」を装った Arid Viper のユーザーインターフェイスのサンプル

関連する広範な出会い系アプリが将来の攻撃につながる可能性

Talos の分析により、Skipped と類似または同一の出会い系アプリを作成する企業が広範に存在することが判明しています。Arid Viper のモバイルマルウェアと Skipped の間に前述のようなつながりがあることから、Arid Viper が今後の攻撃でも別の似通った出会い系アプリのインフラや名称を使用する可能性があると考えられます。

Skipped の発行元であるSkipped GmbHという登録企業はドイツに本社を置き、シンガポールとドバイの企業が発行している一見悪意のない多数の出会い系アプリに関連しているようです。これらの関連企業が Google と Apple のアプリストアで入手可能な出会い系アプリを配信するために使用しているドメインは、Skipped GmbH によって登録されていることが判明しています。これらのアプリのほとんどはユーザーにチャットサービスを提供していますが、対面でのやり取りはできません。チャット中にアプリが中断され、チャットの継続を希望するユーザーは「コイン」を購入するよう求められます。Arid Viper とこれらのアプリの間に現在つながりがある場合、あるいはその可能性がある場合は APT 攻撃者に収益をもたらす可能性があるため、この機能は注目に値します。

Skipped GmbH と関係のある次のオンライン出会い系アプリは、Google Play ストアまたは Apple App Store からインストールできます。

  • 「SKIPPED – Chat, Match & Dating」:Google Play で 5 万ダウンロード
  • 「Joostly – Dating App! Singles」:Google Play で 1 万ダウンロード
  • 「VIVIO – Chat, Flirt & Dating」:Apple App Store で入手可能
  • 「Meeted(旧 Joostly)- Flirt, Chat & Dating」:Apple App Store で入手可能

Google Play ストアに表示される「Skipped」アプリのプレビュー

ドメイン名 meeted[.]at の Web サイトのキャプチャ(最後にアプリの特徴を説明

Talos は、このエコシステムの中心的存在である Skipped GmbH を、複数の名義で活動している個人(またはグループ)と結び付けることができました。この個人(またはグループ)を中心に調査を行い、ドイツを拠点とする 3 社を特定しました(他にもあるかもしれません)。別の企業ではあるものの関連しており、通常は出会い系をテーマにしたモバイルアプリの作成と配信を行っています。次の 3 社です。

企業名 設立日
Skipped GmbH 2023 年 2 月 13 日
Dateed GmbH 2020 年 7 月 3 日
Pyramids Media GmbH 2019 年 1 月 28 日

これらのアプリは Apple と Google 両方のアプリストアで配信されており、広告とコンテンツにはドイツ語が使用されています。すべて恋愛や出会い系をテーマにしており、これは過去に Arid Viper グループによってpopup_icon悪用されたアプリに共通する特徴です。

Talos は、Skipped GmbH が登録した複数のドメインが製品ホームページに使用されていて、アプリのサービス契約のようなアーティファクトをホストしていることを発見しました。これらのドメインに関連するアプリのテーマはすべて恋愛や出会い系です。アプリは App Store で配信されており、発行元はさまざまです。このエコシステムに関与する企業、ドメイン、アプリの大まかなイベントタイムラインを表にまとめています。

タイプ 設立日/作成日
企業 Pyramids Media GmbH 2019 年 1 月 28 日 なし
ドメイン skipped[.]at 2020 年 1 月 16 日 Skipped GmbH
ドメイン balou[.]app 2020 年 4 月 8 日 Skipped GmbH
ドメイン meeted[.]at 2020 年 4 月 11 日 Skipped GmbH
企業 Dateed GmbH 2020 年 7 月 3 日 なし
アプリ Juola/Skipped アプリ 2021 年 2 月 11 日 発行元:NYUTAINMENT PTE. LTD
企業 Dream DDF FZ-LLC(ドバイ、UAE) 不明。パブリックドメインの登録日は 2021 年 7 月 4 日 なし
アプリ Meeted アプリ 2021 年 8 月 25 日 発行元:Skipped GmbH
ドメイン lovbedo[.]com 2021 年 9 月 22 日 不明
ドメイン skpd[.]app 2022 年 2 月 15 日 所有者:Skipped GmbH
企業 NYUTAINMENT PTE. LTD(シンガポール) 2022 年 3 月 31 日 なし
アプリ VIVIO/Lovbedo アプリ 2022 年 4 月 7 日 発行元:Adx Consulting
企業 Adx Consulting DSO-IFZA(UAE、ドバイ) 不明。パブリックドメインの登録日:2022 年 4 月 26 日 Vivio/Lovbedo の新しい発行元
ドメイン isingles[.]app 2022 年 4 月 19 日 所有者:Skipped GmbH
ドメイン joula[.]app 2022 年 4 月 28 日 所有者:Skipped GmbH
ドメイン hellovy[.]app 2022 年 10 月 13 日 所有者:Skipped GmbH
ドメイン meetey[.]app 2022 年 10 月 14 日 所有者:Skipped GmbH
ドメイン vivio[.]app 2022 年 10 月 31 日 所有者:Skipped GmbH
企業 Skipped GmbH 2023 年 2 月 13 日 なし
企業 QUVY CORE PTE. LTD(シンガポール) 2023 年 5 月 26 日 なし
ドメイン imatched[.]app 2023 年 6 月 13 日 所有者:Skipped GmbH
ドメイン skipped[.]us 2023 年 7 月 7 日 所有者:Skipped GmbH
ドメイン meeted[.]app 2023 年 7 月 25 日 所有者:Skipped GmbH

上記のすべての Web サイトは、コンテンツ自体、キャプション、画像には多少の違いがあるものの、まったく同じテンプレートを使用してコンテンツを表示しています。Web サイトのフッターには、アプリストアからアプリをダウンロードするためのリンクが記載されています。ただし、これらのサイトに掲載されている法的合意と発行者情報では Skipped GmbH に言及していない場合があります。実際、多くの Web サイトにはさまざまな国に拠点を置く企業が掲載されています。

アプリ名 開発者名
Meeted/Joostly(iOS)
VIVIO(iOS)
Joostly(Android)
Skipped GmbH、フレンスブルク、ドイツ
VAT 番号:DE328073875
VIVIO(Android) Adx Consulting DSO-IFZA
ドバイシリコンオアシス
Meeted(Android) QUVY CORE PTE. LTD、シンガポール
VAT ID:202320706D
Balou(Android)
Joula(Android)
NYUTAINMENT PTE. LTD
(シンガポール VAT ID:202210925E)
Meetey(Android) Dream DDF FZ-LLC
(ドバイ、UAE)

ドメイン登録情報から分かるように、Skipped GmbH とこれらのアプリに関連付けられたドメインの間には明確な関係がありますが、Skipped GmbH とこれらのアプリを配信する上記の他の開発者との間に直接的な関係があるかどうかは、現時点では不明です。

Talos は、アプリ開発企業、ドメイン、Web サイト間のつながりを示すマッピング図を作成しました。これは以下で参照できます。マッピング図には Arid Viper の Android マルウェアとのつながりも示しています。先に説明したように、Arid Viper が Skipped の Firebase を使用していることがその根拠です。図の中心に位置するのが、さまざまな出会い系アプリのドメイン登録や Web サイトの開設に使用されている Skipped GmbH です。これらのアプリとその Web サイトは、世界中に拠点を置く他の開発者や発行元と関係しています。たとえば「Joula」アプリは、シンガポールを拠点とする「NYUTAINMENT PTE. LTD」という企業によって配信されていますが、Joula のドメインである joula[.]app を登録したのは Skipped GmbH です。

ここに示したアプリと発行者のエコシステムを明らかな詐欺行為と分類することはできませんが、少なくともこれらの企業の 1 つである NYUTAINMENT PTE. LTD が、偽のプロフィールを使用して Web サイトとアプリを運営したとして、2022 年 1 月にベルリン地方裁判所から営業停止命令popup_iconを受けたことは注目に値します。

企業のネットワークを示した図

正規のアプリのアップデートを装ってモバイルマルウェアを配信する攻撃が発生

Talos が発見した Arid Viper による直近の攻撃は遅くとも 2022 年 4 月には発生しており、アプリのアップデートを装ったモバイルマルウェアを使用して、アラビア語圏の Android ユーザーを標的にしています。Arid Viper はこれまで、出会い系アプリや、WhatsApp、Signal、Telegram といった人気の高いメッセージングアプリのアップデートに見せかけてマルウェアを送り込んできました。通常は、YouTube などのメディア共有 Web サイトに投稿されたアプリのチュートリアル動画へのリンクを標的に送信します。

チュートリアル動画では、アプリのすべての機能とその操作方法をアラビア語で順を追って説明していることから、アラビア語圏のユーザーを標的にしていることが分かります。そのような動画の 1 つには、アラビア語(レバント方言)でナレーションをする人物が映っています。動画の概要欄には URL が記載されており、攻撃者が管理するドメインに誘導されます。このドメインでは、Arid Viper の APK マルウェアを配布しています。

悪意のある APK(アラビア語)をダウンロードするリンクを含む YouTube 動画

Talos は、こうした動画をホストしている YouTube のアカウントを特定しました。2022 年 3 月 17 日にアカウントが作成されていて、動画が 1 本しかアップロードされていないことから、Arid Viper はこのようなアカウントを複数使用して一度に限られた数の動画をホストしている可能性があります。上のスクリーンキャプチャに示されているように、この動画の再生回数はこの記事の執筆時点で約 50 回です。

Talos は、この攻撃で使用されたすべてのドメインの登録、運用、管理は、Arid Viper のみが行っていると考えています。これらのドメインは、以前 Arid Viper が使用したインフラpopup_iconで確認されたものと同じ命名スキーマに従っており、悪意のある APK をホストするために使用されるだけでなく、インプラントの C2 サーバーとしても機能します。ドメインは通常、「ALFA TEaM Shellpopup_icon」などの Web シェルを使用して管理されます。

Arid Viper のドメイン上の ALFA TEaM Web シェルプロンプト

先に説明したように、今回の攻撃で展開されたマルウェアの一部は、Google の Firebase プラットフォームを悪意のあるアプリの C2 インフラとして使用していました。Firebase プラットフォームは主に、コマンドの発行と、ファイルのダウンロードとアップロードのための C2 チャネルとして機能しています。マルウェアに新しい C2 サーバーアドレスを提供する機能もあるため、攻撃者が管理する別の C2 ホストに切り替えることもできます。今回の攻撃で Arid Viper が使用した Firebase プロジェクトの 1 つは 2021 年に遡ります。悪意のないモバイル APK がいくつか関連付けられていることから、攻撃者が何年もの間同じアカウントを使用して他の APK ソフトウェアを作成、テストし、普及を試みていたことが分かります。

モバイルマルウェアにより、標的の情報の収集と他のマルウェアの展開が可能に

Arid Viper の Android マルウェアには、標的のデバイスから機密情報を密かに収集し、他の実行ファイルを展開できるようにする数々の機能が備わっています。このマルウェアは、ネイティブコードを使用して自身のアクティビティの一部を非表示にします。つまり、アセンブリベースの共有ライブラリの実行を可能にする Android の機能を利用できるということです。Android アプリは通常 Java コードからビルドできますが、パフォーマンス上の理由から、アプリにはネイティブコードにコンパイルされたライブラリ(共有ライブラリ)を読み込む機能があります。このネイティブコードは、分析とリバースエンジニアリングも困難です。

マルウェアが展開されると、オペレーティングシステムのシステム通知やセキュリティ通知を無効にして、標的のマシン上で自身の存在を隠そうとします。このマルウェアは、Samsung 製モバイルデバイスと Android パッケージをインストールしたデバイスで「セキュリティ」という単語を含む通知を完全に無効にします。Huawei、Google、Oppo、Xiaomi のモバイルデバイスでは、通知に気付きにくくなります。

このマルウェアは、通常「libuoil.so」または「libdalia.so」と呼ばれるライブラリをロードし、4 つの主要な関数をエクスポートします。それぞれの関数は、ベンダー各社の Android オープンソースプロジェクト(AOSP)のバージョンにインストールされた管理パッケージの名前を返します。

エクスポートされた関数の例

これらの名前は、上記のベンダー 4 社のセキュリティパッケージの通知を非表示にするために使用されます。ネイティブコードライブラリではコード文字列は難読化されていないため、これらのベンダーで異なる難読化手順が必要な理由は不明です。

Arid Viper は、C2 ホスト名を難読化する目的で遅くとも 2021 年からpopup_iconネイティブコードライブラリを使用してきました。ただし今回の攻撃では、文字列はまったく難読化されておらず、ビルトインされたセキュリティパッケージの通知を無効にするためだけに使用されています。攻撃者が Android マルウェアを開発しパッケージ化する方法に注目すべき進展が見られたことになります。

このマルウェアは、感染したデバイスから次の機能を含むさまざまな権限を取得するようになっています。

  • 音声の録音
  • 連絡先の読み取り
  • キーボードロックの無効化(キーロックと関連するパスワードセキュリティ対策を無効にする)
  • 通話履歴の読み取り
  • SMS メッセージの送信、受信、読み取り
  • Wi-Fi 設定の表示と変更
  • バックグラウンドアプリの強制終了
  • 外部ストレージのコンテンツの読み取り
  • カメラを使用した写真の撮影および動画の録画
  • デバイス上で現在実行中のタスクに関する情報の取得
  • ユーザーへの通知なしでのファイルのダウンロード
  • システムアラートの作成

これらの機能とその導入に使用されるコードについては、以下で詳しく説明します。

機能の観点から見ると、この RAT はシステムのフィンガープリント取得、データ漏洩、ペイロードの展開など、Android ベースの RAT に古くから搭載されている機能をすべて備えています。

トロイの木馬が仕込まれたアプリの実行

このマルウェアには他のマルウェアをダウンロードする機能があり、通常は正規のアプリのアップデートを装って実行されます。また、特定のアプリで利用可能なアップデートがあるという通知を表示し、ユーザーに悪意のあるアップデートのインストールを促す場合もあります。このマルウェアには、次のアプリをダウンロード、名前変更、実行する機能があります。

  • 「.whatsapp-update.apk」を「whatsapp-update.apk」に変更
  • 「.messenger-update.apk」を「messenger-update.apk」に変更
  • 「.google-play-update.apk」を「google-play-update.apk」に変更
  • 「.instagram-update.apk」を「instagram-update.apk」に変更

アプリ名を変更する構文

システム情報の取得

インプラントには、「/proc/cpuinfo」などの場所や「アクティビティ」などのシステムサービスからシステム情報を取得する機能があります。また、statvfs() Unix 呼び出しのラッパーである StatFspopup_icon API を使用してデバイスからメモリ情報を取得します。

このマルウェアは、SIM ごとにデュアル SIM デバイスの次の SIM 情報を取得できます。

  • SIM スロットの数
  • SIM の状態
  • SIM のサービスプロバイダー名(SPN)
  • SIM のシリアル番号
  • SIM のデバイス ID(IMEI または MEID)
  • SIM の加入者 ID(IMSI)

また、デバイスの次のバッテリー情報を取得することもできます。

  • バッテリーの状態
  • バッテリーのステータス
  • 平均的なバッテリー残量

マルウェアは、デバイスが次のいずれかの場合にメーカーを特定できます。

  • Huawei
  • Xaomi
  • Vivo
  • Oppo

次のネットワーク情報を取得できます。

  • パブリック IPv4 と IPv6 のアドレス(https://api.ipify.orgpopup_icon を使用して取得)
  • MAC アドレス
  • Wi-Fi ネットワーク名

最後に、マルウェアは次のような追加情報を取得できます。

  • 2G、3G、または 4G 対応機か
  • デバイス ID
  • 電話機に関連付けられているアカウントの電子メールアドレス
  • デバイスのブランドと機種
  • OS リリースと API バージョン

現在の C2 から追加の C2 ドメインを受信

Android インプラントは、以下に示すように、現在の C2 に C2 ドメインの更新を要求し、それを構成に保存できます。

収集したログイン情報を漏洩

Facebook から収集したログイン情報を取り出し、C2 サーバーに送信することもできます。

通話と SMS メッセージの録音と送受信

インプラントには、侵害されたデバイスで行われた通話を録音する機能があります。MIC オーディオソースを録音し、その録音をディスク上の指定された場所にキャプチャしてから、ディレクトリ内のすべてのファイルを C2 サーバーにアップロードするという方法です。

このマルウェアには、デバイスが受信した SMS メッセージをキャプチャする機能と、新規の SMS メッセージを送信する機能と、C2 で指定された電話番号に電話をかける機能もあります。

SMS の送信

通話の発信

最後に、インプラントは、侵害されたデバイスに保存されているすべての SMS メッセージに関する次の情報を記録します。

  • 送信者の ID とアドレス
  • 本文/内容
  • 読み取りステータス
  • 受信日
  • タイプ

連絡先の記録

このマルウェアは、デバイスから連絡先情報を記録し、インプラントによって指定されたフォルダ内のファイルに保存することができます。

  • 連絡先 ID
  • 表示名
  • 電話番号

通話履歴の記録

このインプラントは、侵害されたデバイス上の通話履歴情報を記録し、特定のファイルとフォルダに保存できます。次の情報が対象です。

  • 発信者の電話番号と名前
  • 通話の種類(着信または発信)
  • 通話の日時
  • 通話時間(秒)

ファイルの漏洩

最後に、Arid Viper のマルウェアは、拡張子が jpg、jpeg、png、pdf、doc、docx、ppt、pptx、xls、mpp、accdb、xlsx、mdb の指定ディレクトリ内のすべてのファイルを別のディレクトリにコピーして C2 に流出させる機能を備えています。

カバレッジ

今回の脅威は、以下の製品で検出してブロックすることが可能です。

Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。

Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。

Threat Defense Virtual適応型セキュリティアプライアンスMeraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからpopup_iconお申し込みください。

Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。

特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。

Cisco Duopopup_icon は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

IOC

この調査の IOC は、こちらpopup_iconの GitHub リポジトリでも提供しています。

ハッシュ

d5e59be8ad9418bebca786b3a0a681f7e97ea6374f379b0c4352fee1219b3c29

8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964

D69cf49f703409bc01ff188902d88858a6237a2b4b0124d553a9fc490e8df68a

1b6113f2faf070d078a643d77f09d4ca65410cf944a89530549fc1bebdb88c8c

57fb9daf70417c3cbe390ac44979437c33802a049f7ab2d0e9b69f53763028c5

f91e88dadc38e48215c81200920f0ac517da068ef00a75b1b67e3a0cd27a6552

a8ca778c5852ae05344ac60b01ad7f43bb21bd8aa709ea1bb03d23bde3146885

fb9306f6a0cacce21afd67d0887d7254172f61c7390fc06612c2ca9b55d28f80

682b58cad9e815196b7d7ccf04ab7383a9bbf1f74e65679e6c708f2219b8692b

e0e2a101ede6ccc266d2f7b7068b813d65afa4a3f65cb0c19eb73716f67983f7

f15a22d2bdfa42d2297bd03c43413b36849f78b55360f2ad013493912b13378a

ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f

ee98fd4db0b153832b1d64d4fea1af86aff152758fe6b19d01438bc9940f2516

9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f

33ae5c96f8589cc8bcd2f5152ba360ca61f93ef406369966e69428989583a14e

ネットワーク IOC

luis-dubuque[.]in

haroldramsey[.]icu

danny-cartwright[.]firm[.]in

conner-margie[.]com

junius-cassin[.]com

junius-cassin[.]com

hxxps[://]orin-weimann[.]com/abc/Update%20Services[.]apk

hxxps[://]jack-keys[.]site/download/okOqphD

hxxps[://]elizabeth-steiner[.]tech/download/HwIFlqt

hxxps[://]orin-weimann[.]com/abc/signal[.]apk

hxxps[://]lightroom-61eb2[.]firebaseio[.]com/

hxxps[://]skippedtestinapp[.]firebaseio[.]com/

 

本稿は 2023 年 10 月 31 日に Talos Grouppopup_icon のブログに投稿された「Arid Viper disguising mobile spyware as updates for non-malicious Android applicationspopup_icon」の抄訳です。

 

コメントを書く