ESETは、AhMythオープンソースのマルウェアをベースにして作られ、Googleによる審査も通過した新しいスパイウェアを発見しました。その悪意のあるアプリの名前はRadio Balouch、通称RB Musicで、バローチスターンという地域の伝統音楽に特化したストリーミングラジオアプリとして実際に機能しますが、実は毒針を隠し持っており、ユーザーの個人情報を盗めるようになっています。このアプリは公式のAndroid向けアプリストアに2回紛れ込んでいますが、そのどちらもESETが報告したのち、Googleによって速やかに削除されています。

Radio Balouchが悪意ある機能を利用したオープンソースのリモートアクセスツールAhMythは、2017年後半に公開されています。以降ESETはこれをベースにした悪意のあるアプリをいくつも発見してきましたが、公式のAndroid向けアプリストアに掲載された例は、Radio Balouchが初めてです。

ESETのモバイルセキュリティソリューションはAhMythが一般公開されるよりも前である2017年1月より、AhMythやAhMythをベースとするアプリを検出し、ユーザーを守り続けてきました。AhMythの悪意のある機能は、隠蔽、保護、難読化されていないため、Radio Balouchやその他のAhMythをベースとするアプリを、AhMyth系統のマルウェアとして識別することは難しいことではありません。

ESETによってAndroid/Spy.Agent.AOXとして検出されたマルウェアは、Google Playに加えて、他のアプリストアでも入手可能になっていました。さらに専用のWebサイトでInstagramやYouTubeを通して宣伝もされていました。ESETは各サービスプロバイダにこれらの悪意ある宣伝活動についても報告しましたが、今のところ返答はありません。

Radio Balouchは、実際にストリーミングのラジオアプリとして動作し、バローチスターンの音楽を専門に提供していますが、バックグラウンドでユーザーをスパイするようになっています。

Google Playでは、悪意のあるRadio Balouchアプリの異なるバージョンを2回検出しており、そのそれぞれで、アプリのインストールの合計回数は100回程度でした。このアプリが公式のAndroidストアに最初に現れたケースについては、ESETが2019年7月2日にGoogleのセキュリティ部門へ報告し、24時間以内に削除されています。

悪意のある Radio Balouchアプリは、Google Playに7月13日に再び掲載されました。この時もESETによって直ちに報告され、Googleによってすみやかに削除されています。

この悪意あるRadio Balouchアプリは、Android 4.2以降で動作します。インターネットラジオ機能がAhMythと一体となって悪意のあるアプリとなっています。

インストール完了後、インターネットラジオのコンポーネントはすべて問題なく動作し、バローチスターンの音楽をストリーミングで再生できます。しかし悪意のある機能が追加されており、連絡先やデバイスに保存されたファイルを盗み出しし、デバイスからSMSメッセージを送ります。

デバイス上に保存されたSMSメッセージを盗む機能も実装されていますが、この機能は使用することができません。Googleの最近の制限により、デフォルトのSMSアプリでしかSMSメッセージにはアクセスできなくなったためです。

AhMythには機能の異なる亜種が存在するため、Radio Balouchに限らず、このオープンソースのスパイツールをベースにした他のマルウェアは、今後のアップデートによって新しい機能を実装するようになる恐れがあります。

アプリを起動するとまずユーザーは、英語、ペルシャ語の言語を選ぶことになります。次のステップで、アプリがいくつかの許可を要求します。最初にデバイス上のファイルへのアクセスを要求します。これはこのラジオアプリを使用するための許可となるので、この要求を拒否すると、ラジオは聴けないようになっています。

次にアプリは連絡先へのアクセスの許可を求めてきます。要求をカモフラージュするため、アプリを連絡先リスト内の知り合いにシェアするためにこの許可が必要であるというメッセージを表示します。この要求は許可してもしなくても、ラジオを聴くことはできます。