モバイルマルウェア「Skygofree」はAndroidに感染する史上最も高度なマルウェアである可能性があると、ウイルス対策ソフトのカスペルスキー研究所が警告した。
2014年から活動しているSkygofreeは、キャンペーンで使用されたドメインの1つにちなんで名付けられ、大手モバイルネットワーク事業者を模倣したウェブページを通じて拡散され、サイバー監視を目的としています。
Skygofree には、これまでに見られなかった次のような高度な機能が多数含まれています。
- 感染したデバイスのマイクを介した位置情報に基づく音声録音 - デバイスが指定された場所に入ると録音が開始されます
- アクセシビリティサービスを悪用してWhatsAppメッセージを盗む
- 感染したデバイスを攻撃者が管理するWi-Fiネットワークに接続する機能
これまでに検出された進行中の攻撃の被害者はすべてイタリアにいることが確認されており、カスペルスキー社は開発者自身もイタリア人であると推測している。
カスペルスキー社の研究者は、2015年にハッキングチームが崩壊したことで生じた空白をこのグループが埋めた可能性があると見ている。ハッキングチームは、同社が開発した法執行機関向けの商用監視/スパイウェアツールのソースコードや、企業メールなどの恥ずかしい秘密が漏洩した事件で活動していた。
Skygofree モバイルマルウェアの進化 [出典: Kaspersky Lab]
Skygofreeは、感染したデバイスを攻撃者に完全にリモート制御させる多段階スパイウェアの一種です。Kaspersky Labによると、2014年末に最初のバージョンが作成されて以来、継続的に開発が進められています。
「このインプラントはルートアクセスのための複数の脆弱性を保有しており、写真や動画の撮影、通話記録、SMS、位置情報、カレンダーイベント、デバイスのメモリに保存されているビジネス関連情報の取得も可能だ」と同社は付け加えた。
このマルウェアは、画面がオフのときに自動的にオフにならないように、自身を「保護されたアプリ」のリストに追加するようにプログラムされており、その効果を制限する可能性のあるバッテリー節約機能を回避します。
攻撃者はWindowsユーザーにも関心を持っているようです。研究者たちは、MicrosoftのOSを標的とした最近開発されたモジュールをいくつか発見しました。
「ハイエンドのモバイルマルウェアは特定してブロックするのが非常に難しく、Skygofreeの開発者は明らかにこのことを逆手に取り、疑いを抱かせずに標的を広範囲にスパイできるインプラントを作成し、進化させている」とカスペルスキー研究所標的型攻撃調査部門マルウェアアナリストのアレクセイ・ファーシュ氏は述べた。
「マルウェアコードで発見した痕跡とインフラの分析から、Skygofreeインプラントの背後にいる開発者は、HackingTeamのような監視ソリューションを提供するイタリアのIT企業であると確信しています。」
Skygofree のコマンド一覧、侵害の兆候、ドメイン アドレス、インプラントのエクスプロイト モジュールの対象となるデバイス モデルなどの詳細情報は、Securelist.com のブログ投稿で参照できます。
ブートノート
Kaspersky Lab は、Skygofree は Sky、Sky Go、または Sky のその他の子会社とは一切関係がなく、Sky Go のサービスやアプリに影響を与えないことを明確にしました。
