EFFとモバイルセキュリティ企業Lookoutは、偽の安全なメッセージングアプリケーションをダウンロードしたモバイルユーザーを主な標的とした、世界的なスパイ活動キャンペーンを発見しました。EFFとLookoutは、「Dark Caracal」マルウェアがベイルートにあるレバノン治安総局の建物に侵入したことを追跡しました。
米国、カナダ、ドイツ、レバノン、フランスの人々がダーク・カラカルの攻撃を受けました。標的には軍人、活動家、ジャーナリスト、弁護士などが含まれており、盗まれたデータの種類は通話記録や音声録音から文書や写真まで多岐にわたります。これはモバイルデバイスを狙った、非常に大規模で世界的なキャンペーンです。モバイルはスパイ活動の未来です。なぜなら、携帯電話には人々の日常生活に関する膨大なデータが詰まっているからです。
Lookout のセキュリティ インテリジェンス担当副社長 Mike Murray 氏も、Dark Caracal は同社がモバイル向けに発見した最初の APT (Advanced Persistent Threat) 攻撃キャンペーンの 1 つであり、国家主導の攻撃者がサイバー スパイ マルウェアを開発する主なプラットフォーム ターゲットとしてモバイルを使用しているようだと指摘しました。
Dark Caracal のターゲットは、軍人、企業、医療専門家、活動家、ジャーナリスト、弁護士、教育機関など、国家による脅威とみられる典型的なものです。
多国籍国家による諜報活動インフラ
ルックアウトとEFFの共同協力は、EFFが2016年に「オペレーション・マヌル」報告書を発表したことから始まった。この報告書で、同非営利団体は、カザフスタンのヌルスルタン・ナザルバエフ大統領の政権に批判的な反体制派が作戦の標的になっていることを発見した。
この報告書と更なる調査に基づき、研究者たちは複数の国家レベルのアクターが同じサイバースパイ活動基盤を利用しているという結論に至りました。Dark Caracalは、他の多くのサイバースパイ活動で使用されているのと同じ基盤を利用または管理しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ダークカラカルの仕組み
EFFのスタッフテクノロジスト、クーパー・クインティン氏も、Dark Caracalの興味深い点の一つとして、デバイスに感染するために高度なエクスプロイトを必要としないことを指摘しました。Dark Caracalに必要なのは、ユーザーがインストール時に感染アプリに必要な権限を与えることだけでした。
マルウェアがモバイルデバイスに読み込まれると、SMSメッセージ(個人のテキストメッセージ、2要素認証やワンタイムパスワードのコード、領収書や航空券の予約情報、企業とのやり取りなど)を盗むことが可能になりました。また、連絡先リスト、通話履歴、インストール済みアプリケーション名、閲覧履歴、Wi-Fiアクセスポイント名、特定のアプリのログイン認証情報、ドキュメント、音声録音、写真なども盗むことができました。
Dark Caracalキャンペーンの背後にいるグループは、WhatsAppやFacebookグループを利用してモバイルユーザーにフィッシングメッセージを送信し、ユーザーを独自のWebサイト(secureandroid[.]info)に誘導して、バックドアを仕掛けた「安全な」アプリケーションをダウンロードするよう促していました。
感染したアプリは元のアプリと同じように動作するため、アプリがインストールされ、必要な権限がすべて付与されると、ユーザーが不審なアクティビティを見つけるのは困難になります。
Facebookグループに投稿されるフィッシングメッセージには、標的がクリックしたくなるような政治関連記事へのリンクも含まれていました。さらに、研究者たちは、4つのFacebookアカウントが、これらのフィッシングメッセージを含むFacebookメッセージに「いいね!」を押していたことを発見しました。
Google も Lookout および EFF の研究者と協力した後、この件について声明を発表しました。
Googleは、この攻撃者に関連するアプリを特定しました。これらのアプリはGoogle Playストアには存在しませんでした。Google Play Protectは、これらのアプリからユーザーのデバイスを保護するために更新されており、影響を受けるすべてのデバイスからこれらのアプリを削除する作業を進めています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
