セキュリティ研究者は、機密データを盗むため、韓国に住んでいる人のAndroid(アンドロイド)端末をターゲットにした新しいスパイウェアを発見した。
デバイス上の脆弱性を利用する他のスパイウェアとは異なり、「PhoneSpy(フォンスパイ)」として知られるこのスパイウェアは、テレビのストリーミングやヨガのレッスンなど正規のAndroidのライフスタイルアプリを装い、被害者のデバイス上に平然と潜入する。このスパイウェアは、ログイン情報、メッセージ、詳細な位置情報、画像などのデータを被害者の端末から密かに盗んでいる。また、PhoneSpyは、モバイルセキュリティアプリを含むあらゆるアプリをアンインストールすることもできる。
23のアプリ内にPhoneSpyを発見したモバイルセキュリティ会社Zimperium(ジンぺリウム)の研究者は、このスパイウェアは、被害者のカメラにアクセスしてリアルタイムで写真やビデオを撮影することも可能で、個人や企業への脅迫やスパイ活動に利用される可能性もあると警告している。このような行為は、被害者に気づかれることなく行われ、Zimperiumは、ウェブのトラフィックを監視していない限り、発見するのは難しいと指摘している。
正当に見えるアプリが、デバイス上で過剰な許可を要求するのは、一般的なレッドフラッグだ。ZimperiumのRichard Melick(リチャード・メリック)氏は、TechCrunchに次のように述べた。「一度許可が得られれば、アタッカーはコントロールを奪い、ユーザーメニューからアプリを隠し、舞台裏に留まって、断続的に追跡と窃盗を続けることができます」。
PhoneSpyは、Google Playに掲載されているのを知られておらず、どのAndroidのストアフロントでもサンプルが見つかっていない。Zimperiumによると、アタッカーはウェブトラフィックのリダイレクトやソーシャルエンジニアリング(ユーザーを操作して特定のアクションを実行させたり、機密データを引き渡たさせたりする攻撃手法)に基づく配布方法を使用しているとのことだ。
メリック氏は「PhoneSpyは、被害者の端末にダウンロードされる悪意のある偽のアプリを通じて配布されます。フィッシングサイトのように、エンドユーザーを騙して、ウェブサイトや直接リンクから正規のアプリと思われるものをダウンロードさせるWebトラフィックのリダイレクションやソーシャルエンジニアリングを通して配布されていることを示す証拠があります」。
Zimperiumによると、これまでに韓国で1000人以上の被害者を出しているPhoneSpyは、既知の、そして過去に使用されたスパイウェアやストーカーウェアのアプリと多くの類似点がある。「このことから、誰かが必要な機能をまとめて新しいスパイウェアを作ったのではないかと考えられます」とメリック氏は付け加えた。また、既製のコードを使用すると指紋が少なくなるため、アタッカーが自分の正体を隠しやすくなる。
Zimperiumによると、米韓の当局にこの超標的型スパイウェアを通知し、コマンド&コントロール(C&C)サーバーのホストを複数回報告したという。しかし、本稿執筆時点では、PhoneSpyのスパイウェアはまだ活動中だ。
2021年10月、TechCrunchは、何十万人もの人々のプライベートなデータを危険にさらしている重大なストーカーウェアを明らかにした。
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Carly Page、翻訳:Yuta Kaminishi)
