Google の脅威分析グループによる衝撃的なレポートは、RCS Labs と呼ばれるイタリアのスパイウェアベンダーの新たな手口を暴露しています。
スパイウェアベンダーのエコシステム
TAGは最近、イスラエルとハンガリーに拠点を置き、Predatorと呼ばれるマルウェアに関与している北マケドニアの企業Cytroxの活動を暴露した。
イスラエルのNSOグループは以前、様々な国でiOSおよびAndroidのスマートフォンを標的としたマルウェア「ペガサス」の背後にある活動で大きな注目を集めました。現在もNSOに対する訴訟は各国で継続中です。イタリアにはかつて、マルウェア開発と攻撃インフラへの攻撃で知られる、現在は解散したハッキングチームが存在しました。2015年には、何者かが同社への攻撃に成功し、顧客データを含む約400GBのデータが流出しました。
イタリアの RCS Lab に関しては、同社の Web サイトにその能力が明記されています。
RCSが提供する戦術的支援調査ツールには、GSMのオフザエア監視システム、ソーシャルネットワーク分析ツール、そしてSkype、PGP、セキュアウェブメールといった暗号化通信においても対象ユーザーの完全な情報収集を可能にするアクティブ侵入システムが含まれます。さらに、衛星通信およびGPSプローブと位置特定システム、音声/ビデオプローブ、ビデオ監視、拡張CDR(xDR)プローブ、暗号電話ソリューション、Wi-Fiキャッチャーも戦術ツールに含まれています。
Google は、こうしたベンダーを 30 社以上追跡していると述べている。これらのベンダーは、洗練度や公開度のレベルがそれぞれ異なり、政府支援の脅威アクターにエクスプロイトや監視機能を販売している。
イタリアとカザフスタンを標的とした新たな攻撃キャンペーン
このキャンペーンは、ターゲットに送信される固有のリンクから始まり、Android または iOS スマートフォン用に作成された悪意のあるソフトウェアのダウンロードとインストールにつながります。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
このiOSアプリケーションは、Apple Developer Enterprise Programに登録されている3-1 Mobile SRLという企業の証明書で署名されているため、アラートは発生しません。このアプリケーションはApp Storeで公開されたことがなく、サイドロードされているようです。権限昇格の脆弱性があり、6つの脆弱性を悪用しています。そのうち2つは、発見時点でゼロデイ脆弱性(CVE-2021-30883およびCVE-2021-30983)でした。
このAndroidマルウェアは、標的のユーザーに不明なソースからのアプリケーションのインストールを許可するよう要求します。このソフトウェアはGoogle Playストアに保存されたことはありません。Samsung製のアプリケーションを装い、起動するとSamsungアイコン付きの正規のウェブサイトが表示されます。しかし、初回起動時には多くの権限を要求します。このアプリケーションにはエクスプロイトトリガーは含まれていませんが、エクスプロイトをダウンロードして実行する機能があります。
非常に懸念される問題:ISPの連携
GoogleのTAGチームは、「攻撃者は標的のISPと連携し、モバイルデータ接続を無効化したと考えられます。無効化されると、攻撃者はSMS経由で悪意のあるリンクを送信し、データ接続を回復するためのアプリケーションのインストールを促します。ほとんどのアプリケーションがモバイルキャリアのアプリケーションを装っているのは、このためです」と報告しています。
ISP と連携できなかった場合、アプリケーションはモバイル キャリア アプリケーションではなく、メッセージング アプリケーションとして表示されます。
グーグルで国家によるハッキングと脅威の分析のグローバル責任者を務めるビリー・レナード氏は、TAGの報告書の発表後、ツイッターで懸念を表明した。
「RCSラボのTAGが本日説明したような監視機能やスパイウェア機能の急増は、すべてのインターネットユーザーにとって大きな懸念事項であり、我々は引き続きこれに対抗し、阻止していくつもりだ」とレナード氏はツイートした。
さらなる攻撃が続く
Googleは、TAGチームとProject Zeroチームによる調査と分析に基づき、「商用スパイウェア業界は活況を呈しており、著しい成長を遂げている」と評価しています。スパイウェアビジネス全体は、自力でスパイウェア対策能力を開発できない政府機関に効率的なツールを提供しています。
Google は、商業監視業界のこうした有害な慣行に対処するには、脅威インテリジェンス チーム、ネットワーク防御者、学術研究者、政府、テクノロジー プラットフォーム間の連携が必要であると結論付けています。
この脅威から身を守る方法
この脅威は、スマートフォンの Android および iOS オペレーティング システムに特有のものです。
ユーザーは、一般的な脆弱性による侵害を回避するために、オペレーティングシステムとソフトウェアを常に最新の状態に保つ必要があります。正規のアプリケーションストア以外から入手した、安全でないソースからのソフトウェアは絶対に実行しないでください。また、アプリケーションを初めて起動する際は、要求される権限を必ず慎重に確認してください。
多くの企業がセキュリティ意識向上プログラムを実施していますが、そのほとんどはパソコンを対象としており、スマートフォンには焦点を当てていません。攻撃者は、スミッシング(SMSベースのフィッシング)、通信アプリケーション、ブラウザの利用など、複数の方法でスマートフォンに感染を試みることができるため、こうしたプログラムから利益を得る傾向があります。従業員はこれらの脅威ベクトルについて認識しておく必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
