マイク・ピーターソン
· 2分で読めます
クレジット: ルックアウト
新たなモバイルスパイウェアが、違法ウェブサイトに関連した恐喝キャンペーンとして、iOS と Android の両方のユーザーをターゲットにしているようです。
「Goontact」と呼ばれるこのマルウェアは、iPhoneやAndroidから連絡先、SMSテキストメッセージ、写真、位置情報などのデータを盗むことができます。現在のところ、感染地域は中国語圏、韓国、日本に限定されているようです。
このマルウェアを発見したLookoutのセキュリティ研究者によると、「Goontact」は違法サイト、特にエスコートサービスを提供するサイトを訪問するユーザーを標的としている。最終的な目的は、これらのサイトを訪問したり、そこからサービスを勧誘したりするユーザーを標的とした恐喝や脅迫であるようだ。
詐欺は、ユーザーがスパイウェアをホストするウェブサイトに誘導されるところから始まります。一見、エスコート嬢と話しているように見えますが、実際には「Goontact」と呼ばれるオペレーターと通信しており、iOSまたはAndroidデバイスにアプリをサイドロードする必要があると説得されます。
スパイウェアや類似の詐欺行為は珍しくないものの、iOSユーザーを標的としたキャンペーンはこれまで報告されていなかったとLookoutは述べています。iOS版「Goontact」は主にユーザーの電話番号と連絡先リストを盗みますが、新しいバージョンでは被害者にメッセージを表示する機能も備えています。
他のサイドロード型iOSマルウェア脅威と同様に、「Goontact」の運営者はAppleのエンタープライズ開発者証明書を使用して、App Store外でスパイウェアを配布します。スパイウェア攻撃で使用された証明書はすべて、信用組合や鉄道会社など、一見正当な企業を参照しています。
これらの正当な企業が侵害を受けたのか、それとも悪意のある人物がそれらの企業の代表者になりすまして証明書を入手したのかは明らかではない。
Lookoutの調査中、チームは複数の証明書が失効していることに気付きました。失効後、配布サイトに新たなIDが出現し、「Goontact」の運営者が問題なく新しい証明書を入手できたことが示されました。
誰が危険にさらされているのか、そしてどうやって自分を守るのか
「Goontact」はまだ中国、日本、韓国、タイ、ベトナム以外には広がっていないようだが、このスパイウェアや類似のスパイウェアが広がる可能性はある。
スパイウェアの運営者は、ソーシャルエンジニアリングを駆使して、ユーザーに悪意のあるアプリをデバイスにサイドロードさせようとします。そのため、サイドロードを一切行わなければ、危険にさらされることはありません。
一般的なベストプラクティスとしては、信頼できる開発者の公式 App Store からのみアプリをダウンロードし、iPhone、iPad、その他のデバイスのソフトウェアを最新の状態に保つことが常に推奨されます。
最新情報: Appleは、今回の詐欺に使用されたすべてのエンタープライズ証明書を、侵害を受けた開発者の証明書1件を除き、これまでに失効させたと発表しました。同社は、この開発者と協力して「今週末までに証明書を安全に失効させる」と述べ、「この証明書に対して発行されたすべての悪意のあるエンタープライズプロファイルをブロックするための措置を既に講じている」と付け加えました。
