Skygofree:ハリウッド映画ばりのモバイルスパイウェア

2018年1月18日

トロイの木馬というものは、ほとんどが基本的に同じです。デバイスに侵入して、デバイス所有者の支払情報を盗んだり、攻撃者のために仮想通貨をマイニングしたり、あるいはデータを暗号化して身代金を要求したりします。しかし、中にはハリウッドのスパイ映画を彷彿とさせる能力を持つものがあります。

Kaspersky Labは最近、いかにも映画的なトロイの木馬「Skygofree」を発見しました(テレビ放送のSky Goとは関係なく、ドメイン名にちなんだ名前です)。Skygofreeには多様な機能が備わっており、いくつかはこれまでに遭遇したことのないものです。たとえば、インストールされたデバイスの場所を追跡し、デバイスの所有者が特定の場所にいるときに録音を開始する機能があります。つまり、実際問題として、標的となった人がオフィスに入ったときやCEO宅を訪問したときに盗聴を開始できるのです。

もう一つ注意を引くのは、感染したスマートフォンやタブレットを、攻撃者が制御しているWi-Fiネットワークにこっそり接続させてしまう機能です。所有者がデバイスのすべてのWi-Fi接続を無効にしている場合でも。このようにしてSkygofreeは所有者のデータトラフィックを収集して分析するのですが、言い換えれば、デバイスの持ち主が閲覧したサイトや、入力したログインID、パスワード、そしてカード番号も、どこかの誰かに知られてしまうということです。

このマルウェアは、待ち受け状態での動作を助ける機能もいくつか持ち合わせています。たとえば、最新バージョンのAndroidは、バッテリーを節約するために、使われていないプロセスを自動的に停止できます。しかしSkygofreeは、定期的にシステム通知を送信することで、この機能を回避可能です。さらに、ある大手メーカーのスマートフォンでは、画面をオフにするとお気に入り以外のすべてのアプリが停止しますが、Skygofreeは自らをお気に入りリストに登録してしまいます。

さらにこのマルウェアは、Facebook Messenger、Skype、Viber、WhatsAppといったよく使われるアプリを監視することもできます。WhatsAppの場合、抜け目のないことに、Skygofreeはアクセシビリティ機能(ユーザー補助機能)を介してメッセージを傍受します。この機能は視覚や聴覚の不自由な利用者向けのものですが、以前にも取り上げたように、侵入者が感染デバイスを制御するためにこの機能を悪用することがあります。画面に表示された内容を読む「電子の眼」に例えられるアクセシビリティ機能は、Skygofreeに対しては、WhatsAppのメッセージを収集する役割を果たします。アクセシビリティ機能を使用するには利用者の許可が必要ですが、このマルウェアは許可リクエストを、一見無害な他のリクエストの背後に隠してしまいます。

このほか、Skygofreeは密かに前面カメラを起動し、デバイスのロックを解除するときに写真を撮る機能も備えています。犯罪者がデバイスの持ち主の写真をどんな風に利用するかは、想像するしかありません。

このトロイの木馬の作成者は、革新的な機能を取り入れただけでなく、ありふれた機能を省くこともしませんでした。Skygofreeは電話、SMSメッセージ、カレンダーの登録内容といった利用者データも傍受可能です。

高速インターネットをうたいつつ…

当社がSkygofreeを発見したのは2017年後半と最近のことでしたが、解析によれば、攻撃者は2014年以来、定期的に機能を強化させて利用し続けています。どちらかと言えばシンプルなマルウェアが、3年以上をかけて、本格的な多機能のスパイウェアに変貌を遂げました。

このマルウェアは、偽のモバイル事業者のWebサイトから拡散されます。Skygofreeは、モバイルのインターネット通信速度を改善するためのアップデートを装っています。騙されてこれをダウンロードすると、このマルウェアはセットアップ進行中という通知を表示して、利用者には見えないように正体を隠しつつ、コマンドサーバーにさらなる指示を求めます。返ってきた応答に応じて、Skygofreeはさまざまなペイロードをダウンロードします。攻撃者は、ほぼあらゆる状況に対応可能です。

備えあれば憂いなし

これまでに当社のクラウドネットワークが記録した感染は数件で、発生した国はすべてイタリアでした。とはいえ、他の国の人がガードを甘くしても良いということにはなりません。マルウェアを拡散する攻撃者は、いつ標的を変更するか分かりません。幸いなことに、この高度なトロイの木馬の感染も、他のマルウェアの場合と同じように防ぐことができます。

  1. アプリをインストールする場合は、公式ストアからインストールしましょう。公式ストア以外の場所からアプリをインストールする機能は、無効にしておく方が賢明です。スマートフォンの設定から無効にできます。
  2. 疑わしいものはダウンロードしないでください。アプリ名の誤字や、ダウンロード数が少ないアプリや、不審な権限要求には注意しましょう。いずれも、危険を示すサインです。
  3. 信頼できるセキュリティ製品をインストールしましょう。たとえばカスペルスキー インターネット セキュリティ for Androidは、悪意のあるアプリやファイル、疑わしいWebサイトや危険なリンクからデバイスを保護します。無料版では手動でスキャンを実行する必要がありますが、有料版は自動でスキャンを行います。
  4. ビジネスシーンには、Kaspersky Endpoint Security for BusinessのコンポーネントであるKaspersky Security for Mobileをお薦めします。社員が業務で使用する電話やタブレットの保護に対応しています。