✅ レポートタイトル:「BirdCall」: 北朝鮮を背後に持つScarCruftグループによる、Zangiメッセンジャーを装ったマルウェア
✅ レポートの要約:
- S2Wは、ESETが最近公開した延辺地域および特定の集団を標的としたScarCruftグループのモバイルマルウェア「BirdCall」の追加サンプルを特定し、分析を実施しました。
📌 BirdCallマルウェアとは?
- BirdCallは、Android OSを標的とするスパイウェアであることが確認されました。
- 当該マルウェアアプリは、Zangiメッセンジャーアプリを装ったBirdCallであり、攻撃者は正規アプリをリパッケージ化してエントリーポイントを改変していたことが確認されました。
- Zoho WorkDriveの2つのアカウント(cmdCloud、dataCloud)をC2チャネルとして利用し、感染端末の情報や収集した機密情報を窃取するとともに、合計8種類のリモートコマンドをサポートし、端末の制御、ファイル窃取、データの再収集などを実行できます。
📌 マルウェアの主な特徴
- Zoho WorkDriveの2つのアカウント構成(cmdCloud、dataCloud)を利用してコマンド受信とデータ窃取を分散し、正規のクラウドサービスを悪用することで検知を回避します。
- データ窃取時にはRSA-2048、AES-256-CBC、およびzlibによる多層暗号化を適用し、Zoho WorkDriveへアップロードする際のファイル名は、Base-26エンコードおよび11進数構造によるパッキングによって難読化されます。
- キーロギング、スクリーンキャプチャ、マイク録音機能のコード実装は存在しますが、これらの機能を呼び出すエントリーポイントが存在しないため、実際には動作しないことが確認されました。
✅ 脅威検知の推奨事項と対策方法:
- 公式アプリストア以外の不明な提供元からAPKをインストールしないこと、またインストール済みアプリのユーザー補助(アクセシビリティ)サービス権限を定期的に確認することが推奨されます。さらに、端末のネットワークトラフィックで15分周期の反復的なデータ送信パターンが確認された場合は、感染の可能性を疑う必要があります。
- 組織ネットワークでは、同一端末からZohoに対するOAuthトークン更新リクエストが異常に繰り返される場合や、15分間隔で「[A-Z]{1,}.[A-Z]{3}」パターンのファイル名を持つアップロードが検知された場合は、直ちに当該端末を隔離することを推奨します。また、MDMのファイルアクセスログにおいて、.doc、.xls、.pdf、.hwp、.pngなど、窃取対象となる拡張子への大量アクセスイベントが繰り返し検知された場合は、BirdCallによるファイル窃取の試みと判断し、対象端末を隔離することを推奨します。
🧑💻 レポート作成者: S2W 「TALON」
👉 レポート全文(英語): https://bit.ly/4vppNU9
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。