北朝鮮がマルウェアを使って脱北者やジャーナリストをスパイしようとしている可能性

北朝鮮がマルウェアを使って脱北者やジャーナリストをスパイしようとしている可能性

  • GIGAZINE
  • 更新日:2018/01/12
No image

byDmitry Ratushny

韓国で人気のコミュニケーションアプリ・カカオトークや、その他のFacebookなどのSNSを使い、北朝鮮が脱北者やジャーナリストが使用する端末をマルウェアに感染させている、と韓国メディアが報じています。これは、北朝鮮がさまざまな方法を用いて脱北者やジャーナリストの情報を盗み見ようとしていることを示す情報です。

North Korean Defectors and Journalists Targeted Using Social Networks and KakaoTalk | McAfee Blogs

https://securingtomorrow.mcafee.com/mcafee-labs/north-korean-defectors-journalists-targeted-using-social-networks-kakaotalk/

セキュリティソフトを開発するMcAfeeの調査チームが、北朝鮮がばらまいているというマルウェアのAPKファイルを入手し、その分析結果を公開しています。McAfeeによると、マルウェア配布にはGoogleの短縮URL作成サービスの「Google URL Shortener」が使用されているそうです。

No image

北朝鮮が配布しているマルウェアは2つあり、ひとつは「북한기도(北朝鮮の祈り)」で、もうひとつはヘルスケアアプリに偽装した「BloodAssistant」というもの。これらのマルウェアが配布されているURLへのアクセスはほとんどが韓国ユーザーのものであり、使用しているOSとブラウザの組み合わせはWindowsとChromeが大半だそうです。なお、マルウェアのひとつである「BloodAssistant」が配布されているURLには、Facebook経由でのアクセスが約12%もあります。

攻撃の標的とされると、ユーザーにはニュース記事などへの短縮URLが送られてきます。送られてくるURLは転送用ページのもので、リダイレクト先がマルウェアを配布するページになっているので、URLの見た目や一緒に表示されるサムネイルではリンク先がマルウェアを配布するページかどうかわからないようになっています。

以下は、「mail.police.go.kr」という韓国の警察が使用しているメールアドレスのドメインが短縮URLにアクセスしたことを示すスクリーンショット。McAfeeは、「つまり、この短縮URLは警察のアドレスから送られてきた可能性を示しています」と記しています。

No image

なお、McAfeeは「これらのURLへアクセスしたのは被害者だけでなく、マルウェア研究者のアクセスも含まれている可能性がある」と記しており、クリック数はあまり意味がない情報かも知れないとしています。

マルウェアが配布されるページにはAPKファイルが存在し、これがトロイの木馬を被害者のデバイス上で展開します。以下の画面はドロッパーが実行されている瞬間のスクリーンショット。

No image

ドロッパーが実行されると、まず対象のデバイスが既にマルウェアに感染していないかがチェックされます。感染していない場合、アプリにアクセス権を提供するかどうかの通知が表示されるのですが、ポップアップウィンドウをタップしてしまうと、アプリはアクセス権を得てしまうとのこと。

マルウェアがアクセス権を取得すると、マルウェアはその他のさまざまな設定を有効にしたり、トロイの木馬をインストールしたりし始めます。しかし、その様子をユーザーに見られないようにするため、マルウェアは突如ムービーを再生するなどして強制的に別ウインドウを表示します。なお、これらの動作を隠すためのウインドウはトロイの木馬をインストールし終えるとに消えるそうです。

インストールされたトロイの木馬はデータをアップロードしてコマンドを受け取るための制御サーバーとしてDropboxやYandexを使用し、感染した端末の情報を一時フォルダに保存してクラウド上にアップロードするそうです。さらに、感染したデバイスを制御するためのコマンドやその他のデータを含むファイルをダウンロードし、より凶悪な機能を身につけていくことが可能となります。マルウェア全体を更新することも簡単に可能で、実行可能な機能の中には「カカオトークのチャットログをキャプチャーする」というものも存在しています。

No image

悪意のあるAPKファイルは、同じGoogleアカウントのGoogleドライブ上にアップロードされていることも明らかになっています。また、このGoogleドライブのアドレスにはSNSアカウントが紐付けられていたそうで、これらのアカウントを経由してマルウェアが配布されているウェブページへの短縮URLをターゲットに送信しまくっていたことも判明しました。なお、マルウェアを配布しているグループは使用しているクラウドサービスのアカウント名に、韓国のドラマやTV番組などを使用しているので、韓国文化に精通した人物であることもわかっています。

No image

加えて、解析を進める中で、韓国では使われていない北朝鮮でのみ使われている言葉の「피형(血液型)」も発見されています。さらに、マルウェアの拡散に使用されたアカウントに紐付けられているAndroid端末のテストログファイルの中には、北朝鮮のIPアドレスも見つかりました。

なお、McAfeeは北朝鮮のマルウェアをセキュリティアプリの「マカフィー モバイルセキュリティ」で「Android/HiddenApp.BP」として検出できるようにアップデートしています。こういったマルウェアから身を守るには、未確認のソースからアプリケーションをインストールしないことと、カカオトークをインストールする場合はGoogle Playからのみ実行することが推奨されています。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
「グノシー動画自動再生機能」の設定方法について
【!?】ダイソー200円イヤホン、ひと手間で「3万円クラスと戦えるようになる」説が話題
アマゾン、「レジのないコンビニ」をついに一般公開
超人気アダルトサイトが2017年をまとめた統計レポートを公開、日本人ユーザーのフェチも明らかに
【本日のセール情報】Amazonタイムセールで80%以上オフも! 900円台のPCバッグや折りたたみチェアがお買い得に
  • このエントリーをはてなブックマークに追加