16
LookoutとGoogleがAndroid端末で「Chrysaor」監視マルウェアを発見

Chrysaor監視マルウェアの標的国

Chrysaor監視マルウェアの標的国

政府や法執行機関にマルウェアやエクスプロイトを販売するイスラエル企業NSOグループは、iOSデバイスに侵入する高度なマルウェア「Pegasus」を開発しました。Lookoutの研究者たちは、数十の標的に感染したPegasusのAndroid版を発見し、「Chrysaor」と名付けました。Googleはこの脅威を認識し、Androidユーザーを保護するための対策を講じています。

ペガサス監視マルウェア

ルックアウトとシチズン・ラボ(トロント大学マンク国際問題学部傘下の組織)は、人権活動家やジャーナリストへの感染を試みたペガサスを2016年8月に発見しました。このマルウェアは、iOSの3つのゼロデイ脆弱性(研究者らは「トライデント」と名付けました)を利用し、「ワンクリック脱獄ツール」として機能し、iPhoneを乗っ取ることができました。攻撃者は、悪意のあるリンクをクリックさせるだけで済みました。

iPhoneが侵害されると、Pegasusはチャットアプリやソーシャルメディアアカウントから標的の情報を盗み出すために利用される可能性があります。また、このマルウェアは、悪用していた脆弱性が修正された後でもデバイス上に残存し、リモートからアップデートされてiOSの防御の新たな脆弱性を突くことも可能です。

クリサオール

Googleのセキュリティ研究者によると、ChrysaorはPegasusと密接に関連するAndroidマルウェアの一種です。GoogleがChrysaorの存在を知ったのは、Lookoutが分析のために不審なパッケージのリストをGoogleに提出した時でした。その際に、数十台のスマートフォンにPegasusに類似したマルウェアがインストールされていることが判明しました。Googleのチームは、これらのパッケージはPlayストアには掲載されていなかったものの、他の場所からダウンロードできる可能性があると述べています。

感染件数の少なさは意外かもしれませんが、おそらく意図的なものだったのでしょう。政府向けエクスプロイトツールの開発を専門とする企業であるNSOのソリューションは、問題の標的に合わせてカスタマイズされていると考えられます。各国政府がこれらのエクスプロイトに費用を負担しているため、たとえChrysaorなどのマルウェアが1つの標的にしか感染しなかったとしても、NSOは多額の報酬を受け取る可能性があります。

NSO はマルウェアができるだけ多くのデバイスに広がることを望んでいないと思われます。そうするとマルウェアが発見されブロックされる可能性が高くなるからです。

クリサオールの仕組み

Chrysaor がターゲットのデバイスにインストールされると、リモート オペレーターは電話や SMS のアクティビティを追跡できるほか、マイクやカメラを利用してターゲットをスパイすることもできます。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

Android 4.3以前では、Chrysaorエクスプロイトはframaroot(Androidのルート化ツール)を利用して権限を昇格し、Androidのアプリケーションサンドボックスから抜け出していました。ターゲットデバイスがこれらのエクスプロイトに対して脆弱でない場合、アプリはスーパーユーザーバイナリを使用して権限の昇格を試みます。

マルウェアは、次の 6 つの手法を使用してデータを収集します。

  • GPS位置情報の要求などのコマンドを一定の間隔で繰り返します
  • チャットやソーシャルメディアアプリケーションからのデータが通常保存される/data/dataディレクトリを誰でも読み取り可能にし、簡単に収集できるようにします。
  • AndroidのContentObserverフレームワークを使用して、SMS、カレンダー、連絡先、チャットアプリケーションの変更を監視します。
  • 携帯電話の画面に表示されているスクリーンショットを収集します
  • すべての入力を記録するキーロギングを行う
  • バックグラウンドで静かに電話に応答するため、攻撃者は近くの会話を聞くことができます。

Chrysaor はリモート コマンドで削除することも、60 日間攻撃者のサーバーに接続しなかった場合は自動的に削除することもできます。

Androidマルウェアからの保護

Androidのセキュリティ状況は、アップデートがタイムリーに配信されるデバイスの少なさを考えると、実際よりもはるかに深刻である可能性があります。しかし、Googleの「アプリの確認」サービスは、ほとんどのAndroidデバイスで修正されていない既知の脆弱性を悪用しようとするマルウェアのほとんどに対して、通常は優れた効果を発揮します。そのため、「アプリの確認」は有効にしておくことをお勧めします。

しかし、Verify Appsは通常、Googleが認識しているマルウェアに対してのみ有効です。Chrysaorのケースでは、Googleにマルウェアを警告したのはVerify Appsサービスではなく、Lookoutであり、LookoutはCitizen Labと人権活動家からマルウェアに関する情報を得ました。GoogleのVerify Appsは、Pegasusマルウェアの活動が実証された後に初めて登場しました。これにより、GoogleはPegasusマルウェアに対する防御機能を開発することができました。

NSOグループのような企業が開発したソフトウェアの標的になる可能性がある方は、セキュリティパッチが定期的に適用されるスマートフォンを選ぶことをお勧めします。これは通常、デバイスに期待できる最善の保護策です。また、不審なメッセージ内のリンクをクリックしたり、Playストア以外の場所からアプリケーションをダウンロードしたりしないことをお勧めします。これらは不要なリスクにさらすことになります。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Deals
Posted by Lorlink