※ 本記事は2018年4月5日に米国で掲載されたブログ記事の抄訳版となります。

要約

EST Securityによる最近の投稿で、北朝鮮のReaperグループ(APT37、Scarcruft、Group 123、Red Eyesとしても知られる)とつながるスピアフィッシング メールの添付ファイルで、Androidスパイウェアが使用されていることがわかりました。この脅威グループのツールキットに新たにモバイル ベクトルが追加されたことが注目されています。

Unit 42は、このESTの発見についてさらに調査を進めて、元の記事で言及されたトロイの木馬のより高度な亜種を観測しました。Talosがこの亜種について記事を書いており、KevDroidと命名しています。

この投稿では、KevDroidの分析を行うだけでなく、Bitcoin Ticker WidgetアプリケーションおよびPyeongChang Winter Gamesアプリケーションにおいて、以前の未知のトロイの木馬化されたバージョンの発見についても詳しく述べます。これらのバージョンは、このスパイウェア亜種のダウンローダーです。

背景

EST Securityによる投稿では、Naver (韓国大手の検索およびWebポータル サービス プロバイダ)製アンチウイルス アプリケーションを装うAndroidスパイウェアについて詳しく説明されていました。弊社は、同じサンプルを捕捉すると同時に、同じ亜種でさらに2つのバージョンを発見しました。1つはcgalim[.]comにつながっており、これはパロアルトネットワークスが非モバイル攻撃(付録のIOC参照)でReaperグループによる使用を既に観測していたドメインです。

表1:Reaperグループにつながる、元のAndroid スパイウェア亜種の検出済み追加サンプル

元の亜種のアーティファクトに注目することで、同じスパイウェアのより高度な亜種を見つけることができました。これについては、以下で詳しく述べます。また、2つの亜種のそれぞれのダウンローダーとしての役割を果たす2つのAndroidアプリケーションも発見しました。これについては、次項で述べます。

ダウンローダー

ReaperグループのAndroidスパイウェアの亜種を調査していくうちに、hxxp://cgalim.com/admin/hr/1[.]apkからアプリケーションをダウンロードしてインストールする機能を持つ、2つのアプリケーションを発見しました。また、Androidスパイウェアの高度な亜種を提供するURLが同じであることも観測し、これら2つのアプリケーションがReaperグループのAndroidスパイウェアのダウンローダーとしての役割を果たしていることを確認しました。この2つのアプリケーションは、Google Playストアで入手可能な一般的なアプリケーションをトロイの木馬化したバージョンです。トロイの木馬化されたバージョンは、Google Playには存在しません。

両方のダウンローダーともに同じURLに接続してペイロードをダウンロードしますが、コードを詳しく調べると、ReaperのAndroidスパイウェアの特定の1亜種をダウンロードしてドロップするようにそれぞれ作成されていることがわかります。

表2: Reaperグループにつながるスパイウェア亜種のドロップに使用されるAndroid ダウンローダー

両方のアプリケーションが、同じ証明書で署名されているので、同じ作成者によるものであることが確認できます。

これらのダウンローダーは、インストールされると、アプリケーションを更新するようにユーザーを促すメッセージを表示します。ユーザーがこのプロンプトに従うと、ダウンローダーはペイロードを取得して、外部デバイス メモリにAppName.apkという名前で保存します。このペイロードは、ロードされて、再度ユーザーにインストールを確認するように促すプロンプトを表示してから、最終的にデバイスにインストールされます。次のセクションでは、より新しく、より高度なこれらのペイロードの亜種について分析します。

高度な亜種の分析

この分析では、次のサンプルを使用しました。

表3: Reaperグループにつながる、検出済みの新しいAndroid スパイウェア亜種

このサンプルには、以下の機能があります。

• 動画を記録する(デフォルトの時間は10分間)
• 音声を記録する(デフォルトの時間は5分間。48_d[TS].amrという名前で保存)
• スクリーンショットをとる(96_d[TS].jpgという名前で保存)
• 電話のファイル リストを取得する(128_d[TS].txtという名前で保存)
• 特定のファイルをフェッチする
• コマンドのリストをダウンロードする
• デバイス情報の取得 - 64ビットAndroid ID、電話番号、システム プロパティなど(208_d[TS].jsonという名前で保存)
• デバイスのルーティング(パッケージ アセットの「poc」というバイナリを使用)

また、この高度な亜種には、以下の情報の漏出機能があります。

• 着信および発信の通話音声記録(_p[Ph]_in_[D].amrまたは_p[Ph]_out_[D].amrという名前で保存)
• 通話ログ(16_d[TS].jsonという名前で保存)
• SMS履歴(32_d[TS].jsonという名前で保存)
• 連絡先リスト(144_d[TS].jsonという名前で保存)
• 電話の登録済みアカウントに関する情報(160_d[TS].jsonという名前で保存)

それぞれのケースで、[TS]はyyyyMMddkkmmssという形式の現在のタイムスタンプです。[Ph]は通話の発信元または宛先の電話番号で、[D]は通話時間です。

これらの漏出機能は元の亜種と共有されていますが、前の亜種が オープン ソース ライブラリを使用していたのに対して、この新しい亜種は独自の通話記録ライブラリを作成します。

漏出した情報は、電話の/sdcard/_puディレクトリに書き込まれ、hxxp://hakproperty.com/new/plat/pu[.]php?do=uploadに送信されます。

転送する前に、このファイルは、「08D03B0B6BE7FBCD」というキーを使用してAES暗号化されます。この暗号化スキームとキーは、2つの亜種で一貫しています。

暗号化後の、ファイルはサフィックス「x」を付けて名前変更されます。作成されたすべてのファイルは、アップロード サーバーに送信された後、削除されます。

コマンドのリストをフェッチするように命令を受けると、リストが以下からフェッチされます。

hxxp://hakproperty.com/new/plat/pu[.]php?do=download_rc&aid=" + [64-bit android_id]

結論

新しい攻撃ベクトルの出現、さらにそれに続く、冬季五輪など時節に応じたアプリケーションを装う新しい亜種の登場は、Reaperグループが活発に開発を進めており、活動範囲を拡大していることを示しています。

パロアルトネットワークスのお客様は、攻撃に対して以下の保護機能によって守られています。

1.     AutoFocusをご使用のお客様は、Reaperタグで、このグループの活動を調べることができます。

2.     WildFireは、悪意があると判断した、すべての関連サンプルを検出します。

3.     Trapsは、このグループに関連したすべての悪意のあるファイルをブロックします。

IOC