Signal? いいえ、Dracarysです

Signalのようなマルウェアが確認されています。
SignalはSignal Foundationが開発しているオープンソースのメッセンジャーソフトウェアです。
すべての通信内容がエンドツーエンドで暗号化されるため非常に高いセキュリティレベルが確保されます。
その安全性の高さとオープンであることが関係し、Signalの通信部分であるSignalプロトコルは他のメッセージングアプリでも採用されていたりします。
SignalプロトコルはFacebook MessengerやSkypeの一部で使用されていますし、WhatsAppでは標準で全ての通信にSignalプロトコルを適用しています。
SignalはLINEなどのメッセージングアプリの代替として一定の注目を集めているアプリです。

このSignalは正しく入手して使う分には安全です。
まぁなんでもそうですが。
でも正しくない方法で入手した場合、それはSignalではない別のものかもしれません。

巧妙に作成された野良サイトで配布されているSignalがあります。
Signalはすべてのソースコードが公開されていますので、本物の外見と完全に同じ外見を実現することは容易です。
また同じように、本物の持つ通常の機能を完全に同じく実現することも何ら問題ありません。
そしてさらに、すべてのソースコードが閲覧参照利用できますので、ソースコードのいかなる場所にでも任意のコードを挿入することができます。

生み出されてしまったのがSignalのソースコードを使って作られたDracarysです。
Dracarys Android Spyware は、Signalの正規のアプリケーションになりすまし、フィッシング サイトを介して配布されます。

メッセージングアプリはその性質上多様なデバイスへのアクセス許可を要求します。
他のメッセージングアプリを使ったことのある人なら納得できるものが多いと思われることもあり、多くのアクセス許可の要求に違和感を感じる人は少ないかもしれません。
その多くのアクセス許可を悪用し、感染端末上で情報を収集します。
Dracarys はアクセシビリティ サービスを悪用して追加の権限を自動的に付与し、ユーザーが Signal
アプリを閉じてもバックグラウンドで実行を継続し、ユーザーの操作なしで権限を上げて画面を「クリック」します。
そう、なんでもできるのです。

C2に接続し、コマンドを受け取ります。
連絡先の情報やSMSのデータなど端末内にある情報をC2に盗み出します。
端末のスクリーンショットも取得できますし、勝手に端末で音声を録音して盗み出すこともできます。
C2のドメイン名もいかにもsignalのようなドメイン名が利用されます。もちろん正規のドメイン名ではありません。

そんな風に盗み出されてしまう通信も全部暗号化されています。
通信の内容を見て盗み出されていることを把握することはできそうにありません。
なんといってもSignalプロトコルは、あのエドワード・スノーデンも秘匿性の高さを評価したというものですので。
唯一可能かもしれないのは通信先のドメイン名からの実態の把握でしょうか。

野良サイトらしい野良サイトを使う人は少ないかもしれませんが、いまどきのフィッシングサイトはよくできています。
見た目で判別することは容易ではありません。
アプリを入手するときはアプリ開発元などのサイトなどではなく、GooglePlayなどの公式のストアを使いたいものです。
そしてアプリやOSの更新もタイムリーに適用し、アンチウイルスもきっちり利用したいですね。

参考記事（外部リンク）：Bitter APT Group Using “Dracarys” Android Spyware
blog.cyble.com/2022/08/09/bitter-apt-group-using-dracarys-android-spyware/