ニュース

カスペルスキーがAndroid標的のスパイウェア「PhantomLance」の調査結果を公開、東南アジアを中心に活動

 カスペルスキーは、Android端末を標的とするスパイウェア「PhantomLance」の調査結果を公開した。同社の調査によると、攻撃活動は少なくとも2015年から始まり、現在も継続しているという。

 PhantomLanceは、Android端末を標的とし、Google Playなどで配信されるアプリ内に紛れて活動するスパイウェア。不正なアプリはブラウザクリーナーを装ったものなどがみられるという。攻撃活動はベトナムに拠点を置くとみられるAPT(Advanced Persistent Threat)攻撃グループ「OceanLotus」によるものとみられ、2019年7月にロシアのセキュリティベンダーであるDoctor Webが発見した。

 なお、APT攻撃グループとは、国家組織からの指示と支援を受け、高度で持続的な脅威を実行するグループを指す。

Google Playストアで発見された不正アプリ(現在は削除済み)

 カスペルスキーによると、PhantomLanceは一般的なトロイの木馬と比べて、精巧さや振る舞いが大きく異なるという。通常のマルウェアの場合、不正アプリのインストール数を増やして標的を増加させるため、宣伝に相当なリソースを費やすが、PhantomLanceではこれがみられないという。また、同社はPhantomLanceによく似た不正なアプリをGoogle Playストア上で複数発見した。

 PhantomLanceは東南アジアを中心にサイバー攻撃を試みており、ベトナムを中心にインド、バングラデシュ、インドネシアなどの国家で、Android端末を標的として少なくとも約300回の感染の試みが見られたという。攻撃で使用された不正なアプリの中には、ベトナム専用に作成されたものもあった。

PhantomLanceは東南アジアを中心に攻撃を試みている

 不正アプリの主な目的はインストールしたデバイスのさまざまな情報を収集することで、位置情報や通話ログ、連絡先、SMSのほか、インストールしているアプリのリストやAndroidデバイスのモデル、OSのバージョンといったデバイス情報を収集しているという。

 カスペルスキーは、同社が発見したすべての不正アプリを正規のアプリストアの所有者に報告し、Google Playでは、不正なアプリケーションが削除されたことを確認している。なお、Google Playストア以外の非公式アプリストアではまだ配布されているものもあるという。

ベトナム語で作成された不正アプリがサードパーティーのアプリストアでは未だ配布されているという