Kaspersky Labのリサーチャーは、2014年以降活動を続いている、サイバー監視を目的に設計された極めて高度なモバイル向けマルウェア「Skygofree」を発見しました。感染したデバイスを介して位置情報をもとに音声を記録するといった、かつて見られなかった機能を備えています。このスパイウェアは、大手の携帯通信事業者を装った偽のWebページを媒体にして拡散されます。
[本リリースは、2018年1月16日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labのリサーチャーは、2014年以降活動を続いている、サイバー監視を目的に設計された極めて高度なモバイル向けマルウェア「Skygofree」を発見しました。感染したデバイスを介して位置情報をもとに音声を記録するといった、かつて見られなかった機能を備えています。このスパイウェアは、大手の携帯通信事業者を装った偽のWebページを媒体にして拡散されます。
Skygofreeは、感染したデバイスを攻撃者が完全に遠隔操作できるようにする、巧妙な多階層式スパイウェアです。このスパイウェアは、最初のバージョンが作成された2014年末以降、継続的に開発され、今では感染したデバイスが特定の場所に入った時に周囲の会話や音を盗聴するといった、これまでのマルウェアに無かった能力を備えるようになりました。ほかにも、Androidのユーザーを補助するサービス(Accessibility Service)を使用してWhats APPのメッセージを盗んだり、攻撃者がコントロールするWi-Fiネットワークに感染したデバイスを接続させるなど、これまでに無かった機能が実装されています。
またこのマルウェアは、ルート権限を得るための複数のエクスプロイトを使う能力を持つほか、写真や動画の撮影、通話記録やSMS、位置情報、スケジュール、メモリーに保存されているビジネス関連情報などの窃取を行います。さらにSkygofreeは、大手のデバイスベンダーが実装しているバッテリー節約技術を悪用して、自身を「保護されたアプリ」リストに追加し、画面をオフにしたときにも自動的に切られないようにします。
攻撃者はWindowsユーザーも狙っており、当社のリサーチャーはWindowsプラットフォームをターゲットに最近開発されたモジュールを数多く発見しています。
Skygofreeの拡散に使用された偽のWebページのほとんどは、Kaspersky Labのテレメトリーによれば、拡散キャンペーンが最も活動的であった2015年に登録されていました。このキャンペーンは現在も続いており、最新のドメインが登録されたのは2017年10月でした。現在までにイタリアで検知されています。
リサーチャーは、攻撃者が本マルウェアの威力を最大限の発揮させるための48種類のコマンドを確認しています。
Kaspersky Labの標的型攻撃リサーチ部門 マルウェアアナリストのアレクシー・ファーシュ(Alexey Firsh)は次のように述べています。「高性能なモバイルマルウェアは、その検出とブロックがますます困難になっており、Skygofreeの開発者は明らかにその点を悪用して、怪しまれることなくターゲットの中身をくまなく盗み見ることが可能なインプラントを作成し、進化させています。当社がこのマルウェアのコードの中に発見した証拠と攻撃基盤の分析結果から、Skygofreeの背後にいる開発者は「HackingTeam」社ではなく、監視ソリューションを提供しているイタリアのIT企業であることは確かです」
高度なモバイルマルウェアの脅威から継続的に身を守るため、Kaspersky Labは、エンドポイントに対する攻撃を検出しブロックすることができる信頼性の高いセキュリティソリューションを実装することを強くお勧めします。さらに、知らない人や組織から電子メールを受信した場合、あるいは予期せぬリクエストや添付ファイルを受け取った場合は特に注意が必要です。Webサイトのリンクをクリックする前に、怪しいところはないか、どこのWebサイトなのかを念入りにチェックしてください。疑わしい場合には、サービスプロバイダーに連絡して確認してください。企業や組織のシステム管理者は、モバイルセキュリティソリューションのアプリケーションコントロール機能を有効にし、Skygofreeの攻撃に対して脆弱性のある危険なプログラムをコントロールする必要があります。
カスペルスキー製品は、Skygofreeマルウェアを以下の検知名で検知・ブロックします。
HEUR:Trojan.AndroidOS.Skygofree.a
HEUR:Trojan.AndroidOS.Skygofree.b
UDS:DangerousObject.Multi.Generic
Skygofreeのコマンドリスト、脅威の痕跡(IoC)情報、エクスプロイトモジュールにより狙われたモデルなど、技術的な詳細については、Securelistブログ「Skygofree: Following in the footsteps of HackingTeam」(英語)をご覧ください。Kaspersky Dailyブログ「Skygofree:ハリウッド映画ばりのモバイルスパイウェア」でもご紹介しています。
■ 注記
Skygofreeは、使用されたドメインから命名されました。このマルウェアはSkyやSky Go、そのほかのSky関連企業との関係は一切なく、Sky Goの提供するサービスやアプリに影響はありません。
