ロシア企業の従業員をスパイするAndroidバックドア

ウイルスアラート | Hot news | ウイルスレビュー(モバイル) | 全てのニュース

2025年8月22日

株式会社Doctor Web Pacific

本記事ではロシア企業を標的として広く拡散されている多機能バックドア Android.Backdoor.916.origin についてお知らせします。このマルウェアは攻撃者から受け取る数々のコマンドを実行することができ、スパイ活動とデータ窃取のための広範な機能を備えています。なかでも特に、会話を盗聴、デバイスのカメラからブロードキャスト、メッセンジャーやブラウザからコンテンツを窃取するほか、キーロガー機能を使用して入力テキスト(パスワードなど)を盗み取ります。

Android.Backdoor.916.origin の最初のバージョンは2025年1月に登場しています。その発見以来、Doctor Webのアンチウイルスラボではこのマルウェアの進化を追い続け複数のバージョンを検出してきました(それぞれのバージョンに関する詳細は該当する「侵害の痕跡」をご確認ください)。 Android.Backdoor.916.origin は不特定のAndroidユーザー間での大量拡散を狙ったものというよりも、むしろ標的型攻撃を目的に設計されている可能性が高いと考えられます。そしてその主たる標的はロシア企業の従業員です。

脅威アクターはメッセンジャーのダイレクトメッセージ(DM)を利用して、「GuardCB」という名のアンチウイルスに偽装したバックドアのAPKファイルを拡散しています。このアプリのアイコンは盾の形をしたロシア連邦中央銀行の紋章に似せたものとなっており、そのうえインターフェースの言語は1つ、すなわちロシア語のみとなっています。つまり、このマルウェアは完全にロシアのユーザーを標的に据えたものであると言えます。このことは、検出された別の亜種に「SECURITY_FSB」や「ФСБ (FSB)」などの名前が付いていたことによっても裏付けられています(「FSB」はロシア連邦保安庁の略称)。これらはロシアの法執行機関と関連があるとうたうセキュリティ関連のプログラムを装っていました。

#drweb #drweb

被害者を欺くためのマルウェアのアイコン

実際には「GuardCB」にアンチウイルスとしての機能は一切搭載されていません。起動されると Android.Backdoor.916.origin はあたかもデバイスのアンチウイルススキャンを実行しているかのように見せかけます。脅威が「検出」される確率はあらかじめプログラムされており、前回の「スキャン」から時間があけばあくほど高くなります。ただし、30%を超えることはありません。「検出された脅威」の数は1~3個の間でランダムに決定されます。

#drweb #drweb

Android.Backdoor.916.origin は初回起動時に多くのアクセス権限を要求します。

  • 位置情報
  • 音声録音
  • SMS、連絡先、通話履歴、メディアファイルへのアクセス、電話の発信許可
  • カメラ(写真撮影および動画録画)
  • バックグラウンドでの実行許可
  • デバイス管理者権限
  • アクセシビリティサービス(ユーザー補助機能)
#drweb
#drweb
#drweb
#drweb

要求される権限の例

次に、 Android.Backdoor.916.origin は自身のサービスをいくつか起動させ、そのアクティビティを1分おきにチェックして必要に応じて再起動させます。このバックドアはこれらのサービスを使用してC2サーバーに接続し、大量のコマンドを受け取ります。以下はそれらコマンドの例です。

  • 受信および送信SMSをC2サーバーにアップロードする
  • 連絡先リストをC2サーバーにアップロードする
  • 通話履歴をC2サーバーにアップロードする
  • 位置情報データをC2サーバーにアップロードする
  • デバイスのマイクからの音声ストリーミングを開始または停止する
  • デバイスのカメラからの動画ストリーミングを開始または停止する
  • デバイス画面のストリーミングを開始または停止する
  • メモリカードに保存されているすべての画像をC2サーバーにアップロードする
  • 指定された名前の範囲に該当する画像をメモリカードからC2サーバーにアップロードする
  • 指定された画像をメモリカードからC2サーバーにアップロードする
  • バックドアの自己保護機能を有効化または無効化する
  • 受信したシェルコマンドを実行する
  • デバイスのネットワークとインターフェースに関する情報をC2サーバーにアップロードする

Android.Backdoor.916.origin は収集したデータを種類ごとにそれぞれ異なるC2サーバーポートにストリーミングします。

また、 Android.Backdoor.916.origin はアクセシビリティサービス(ユーザー補助機能)を使用してキーロガー機能を実行し、メッセンジャーやブラウザから内容を盗み取ります。このトロイの木馬が監視するのは以下のアプリです。

  • Telegram
  • Google Chrome
  • Gmail
  • Яндекс Старт (Yandex Start)
  • Яндекс Браузер (Yandex Browser)
  • WhatsApp

そのうえ、脅威アクターから該当するコマンドを受け取った場合は同サービスを使用して自らを削除から保護する機能も備えています。

Android.Backdoor.916.origin は多数のC2サーバーと連携して動作することができ、それらの情報はトロイの木馬の設定内に保存されています。さらにホスティングプロバイダを切り替えることも可能で、その数は15にも上ります。ただし、この機能は現時点では使用されていません。Doctor Webは確認された侵害についてドメインレジストラに報告を行いました。

Dr.Web Security Space for mobile devicesは Android.Backdoor.916.origin の既知の亜種をすべて確実に検出し、削除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.Backdoor.916.origin の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

0
新着ニュース 全てのニュース