危うい！Google TAGは、隠者のスパイウェアを広めるためにISPからの助けを見つける

ジャカルタ - 高度なスパイウェアキャンペーンは、インターネットサービスプロバイダ(ISP)から支援を受けて、ユーザーをだまして悪意のあるアプリケーションをダウンロードさせています。GoogleのTechnical Analysis Group(TAG)が発表した調査によると、これは明らかになった。

また、Hermitと呼ばれるスパイウェアをイタリアのスパイウェアベンダーRCS Labsにリンクさせたセキュリティ研究グループLookoutの以前の調査結果を裏付けています。

Lookoutによると、RCS Labsは、ペガサススパイウェアの背後にいる有名な監視リース会社であるNSOグループと同じ軌道に乗っているという。NSOグループは、さまざまな政府機関に商用スパイウェアを売り込んでいます。

Lookoutの研究者は、隠遁者はカザフスタン政府とイタリア当局によって配備されたと考えている。これらの調査結果に沿って、Googleは両国の被害者を特定し、スパイウェアの影響を受けたユーザーに通知すると述べた。

Lookout レポートで説明されているように、Hermit は、コマンド アンド コントロール (C2) サーバーから追加機能をダウンロードできるモジュール式の脅威です。これにより、スパイウェアは被害者のデバイス上の通話記録、場所、写真、テキストメッセージにアクセスできます。

Hermitはまた、オーディオを録音し、電話をかけたり傍受したり、Androidデバイスにルート化したりして、コアオペレーティングシステムを完全に制御することもできます。

このスパイウェアは、通常、携帯電話会社やメッセージングアプリの形で、正当なソースを装うことによってAndroidとiPhoneに感染する可能性があります。

Googleのサイバーセキュリティ研究者はまた、一部の攻撃者が実際にISPと協力して被害者のモバイルデータをオフにしてスキームを継続していることも発見しました。悪意のある加害者は、SMSを介して被害者の携帯電話会社になりすまし、悪意のあるアプリのダウンロードがインターネット接続を回復すると信じ込ませるようにユーザーをだます。

攻撃者がISPを操作できない場合、Googleはユーザーをだましてダウンロードさせる一見本物のメッセージングアプリになりすますと言います。

LookoutとTAGの研究者はまた、Hermitを含むアプリはGoogle PlayやApple App Storeでは決して入手できないと述べた。ただし、攻撃者はAppleのエンタープライズ開発者プログラムに登録することで、感染したアプリをiOSに配布することができます。

これにより、悪意のあるアクターはApp Storeの標準チェックプロセスをバイパスし、「あらゆるiOSデバイス上のすべてのiOSコード署名要件を満たす」証明書を取得できます。

AppleはThe Vergeに、この脅威に関連するアカウントまたは証明書を取り消したと語った。影響を受けるユーザーに通知することに加えて、GoogleはGoogle Playプロテクトのアップデートをすべてのユーザーにプッシュしました。