2025年4月22日

株式会社Doctor Web Pacific

Doctor Webのエキスパートは、ロシアの軍関係者を主な標的とするスパイウェアAndroid.Spy.1292.originを発見しました。このトロイの木馬は改変された地図アプリ「AlpineQuest」に隠されてさまざまな方法で拡散されており、ロシアのAndroidアプリ配信サイトもその拡散元の1つです。Android.Spy.1292.originは電話帳の連絡先やデバイスの位置などといった感染したデバイスに関する情報を攻撃者に送信します。さらに、デバイス上に保存されているファイルに関するデータを収集し、脅威アクターからコマンドを受け取った場合はファイルを盗むための機能を備えた追加のモジュールをダウンロードできます。

AlpineQuestはさまざまな地図をオンラインとオフラインのどちらでも利用できる地形図アプリで、アスリートや旅行者、ハンターの間で人気があります。一方で特別軍事作戦ゾーンのロシア軍関係者にも広く使用されており、この攻撃キャンペーンの実行者はそこに目を付け悪用しています。脅威アクターは Android.Spy.1292.origin をAlpineQuestアプリの古いバージョンに埋め込み、高度な機能を備えた「AlpineQuest Pro」の無料版として拡散していました。そのための手段としてTelegramに偽のチャンネルを作成し、トロイの木馬化されたアプリをロシアのAndroidアプリ配信サイトからダウンロードするためのリンクを提供しています。後に、この同じチャンネルからトロイの木馬化されたバージョンがAlpineQuest Proの「更新」を装って拡散されるようになりました。

脅威アクターがトロイの木馬 Android.Spy.1292.origin を拡散していたTelegramチャンネル

Android.Spy.1292.origin は正規アプリのコピーに埋め込まれているため見た目も動作も本物と変わるところがなく、ユーザーに気づかれずにより長期にわたって悪意のあるタスクを実行し続けることが可能です。

このトロイの木馬は起動されるたびに以下のデータを収集しC&Cサーバーに送信します。

• ユーザーの携帯電話番号とアカウント
• 電話帳の連絡先
• 現在の日付
• 現在の位置情報
• デバイスに保存されているファイルに関する情報
• アプリのバージョン

同時に、情報の一部を攻撃者のTelegramボットにも送信します。たとえば、デバイスの位置が変わるたびに新しい位置情報がTelegramボットに送信されます。

デバイス上のファイルに関する情報を受け取った脅威アクターがその中にめぼしいファイルを見つけた場合、トロイの木馬にコマンドを送信して、ファイルを盗むための追加のモジュールをダウンロード・実行させることができます。Doctor Webのスペシャリストによる分析の結果からは、主に狙われているのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルlocLogであることが示されています

こうして、Android.Spy.1292.origin を使用することでユーザーの位置情報を追跡するだけでなく、機密ファイルを盗むことも可能になります。また、新しいモジュールをダウンロードすることで機能を拡張できるということは、ほかにもさまざまな悪意のあるタスクを実行させることが可能であるということを意味しています。

Doctor Webでは、Androidアプリは公式アプリストアなどの信頼できる提供元からのみインストールし、Telegramチャンネルや怪しいサイトからダウンロードしない(特に、本来有料版であるアプリが無料で提供されている場合など)ようにすることを推奨しています。また、攻撃者は似たような名前やロゴを使用して本物の開発者を装っていることが多いため、アプリを配信しているのが誰なのかを慎重に確認することも重要です。

Androidデバイスを保護するにはアンチウイルスの使用が不可欠です。Dr.Web Security Space for mobile devicesはトロイの木馬 Android.Spy.1292.origin を確実に検出・削除し、脅威からの強固な保護を提供します。

Indicators of compromise(侵害の痕跡) ※英語

Android.Spy.1292.origin の詳細 ※英語