イタリアのスパイウェア企業がiOSとAndroid端末をハッキングしているとGoogleが発表

ニュース

Googleの報告によると、RCS Labスパイウェアは、既知のエクスプロイトを使用して、有害なペイロードをインストールし、ユーザーの個人データを盗み出すとのことです。

Googleの脅威分析グループ(TAG)は、イタリアのベンダーであるRCS Labをスパイウェア犯として特定し、ゼロデイ脆弱性を悪用したツールを開発して、イタリアとカザフスタンのiOSおよびAndroidモバイルユーザーに対して攻撃を仕掛けていることを明らかにしました。

木曜日のGoogleブログの投稿によると、RCS Labは、最初の感染ベクトルとして非定型のドライブバイダウンロードを含む戦術を組み合わせて使用します。同社は、標的となるデバイスのプライベートデータをスパイするツールを開発している、と投稿は述べています。

ミラノに拠点を置くRCS Labは、フランスとスペインに関連会社を持つとし、欧州の政府機関を顧客としてウェブサイトに記載している。合法的傍受の分野で「最先端の技術的ソリューション」を提供するとしている。

同社はコメントを控えており、電子メールでの問い合わせには応じていない。RCSラボはロイターへの声明の中で、”RCSラボの職員は、関連する顧客が行う活動にさらされることも、参加することもない “と述べている。

同社はホームページで、”完全な合法的傍受サービスを提供し、ヨーロッパだけで毎日1万件以上の傍受対象を扱っている “と宣伝している。

GoogleのTAGは、RCS Labの機能を利用したスパイウェアのキャンペーンを観測したと述べています。このキャンペーンは、ターゲットに送信される固有のリンクから始まり、そのリンクをクリックすると、ユーザーに悪意のあるアプリケーションをAndroidまたはiOSデバイスにダウンロードおよびインストールさせようとするものである。

これは、場合によっては、対象端末のISPと連携してモバイルデータ接続を無効にすることで行われるようだ、とGoogleは述べている。その後、ユーザーは、表向きはデータ接続を回復させるためのアプリケーションのダウンロードリンクをSMSで受け取る。

このため、ほとんどのアプリケーションは携帯電話会社のアプリケーションを装っている。ISPの関与が不可能な場合、メッセージングアプリを装う。

ドライブバイダウンロードの許可

Googleによると、ユーザーが結果を理解せずに許可したダウンロードと定義される「許可型ドライブバイ」の手法は、iOSとAndroidの両方のデバイスに感染するために繰り返し使用されているとのことです。

RCS iOSドライブバイは、Appleの指示に従い、独自の自社アプリをApple端末に配信するものであるとGoogleは述べている。ITMS(IT management suite)プロトコルを使用し、Apple Developer Enterpriseプログラムに登録されているイタリアの3-1 Mobile社の証明書でペイロードを持つアプリケーションに署名しています。

iOSのペイロードは複数の部分に分かれており、4つの公知のエクスプロイト(LightSpeed、SockPuppet、TimeWaste、Avecesare)と最近確認された2つのエクスプロイト(Clicked2およびClicked3)を利用しています。

Androidのドライブバイは、ユーザーがサムスンの公式アイコンを表示する正規のアプリを装ったアプリケーションのインストールを可能にすることに依存します。

Googleは、ユーザーを保護するために、Google Play Protectの変更を実施し、影響を受けるデバイスとの通信に使用されるC2(コマンド&コントロール技術)として使用されるFirebaseプロジェクトを無効にしました。さらに、Googleは、Androidの被害者に警告するために、いくつかのIOC(indicators of compromise)を投稿に掲載しました。

プロフィール

プロフィール
コードラボJP

大学卒業後SEに就職、現在は退職しフリーランスとして活動中。
『初心者でも挫折せずに一人でプログラミングを学べる』をモットーに、コードラボJPを開設
お問い合わせ等はcodelabsjp@gmail.comまで

コードラボJPをフォローする
タイトルとURLをコピーしました