ダリル・ボックスバーガー
· 2分で読めます
マルウェアのイラスト
Googleは、ヨーロッパのAndroidおよびiOSユーザーが騙されて悪質なアプリケーションをインストールさせられ、デバイスから個人情報を盗まれていたことを明らかにした。
Googleが木曜日に発表した報告書には、Project Zeroキャンペーンの一環として商業スパイウェアベンダーに対して行っている継続的な調査の詳細な結果が記載されている。
同社は、攻撃の犯人としてイタリアのRCS Labsを挙げた。Googleは、RCS Labsが「複数の戦術を組み合わせた」手法を用いて、イタリアとカザフスタンのユーザーを「ドライブバイダウンロード攻撃」とみられる攻撃で標的にしたと主張している。
メッセージには、被害者がアカウントまたはサービスにアクセスできなくなったため、サービスを復旧するには提供されたリンクからサインインする必要があると記載されていました。悪意のある攻撃者が送信したインストールリンクは、インターネットサービスプロバイダやメッセージングアプリケーションの通知を装っていました。
被害者がリンク先のサイトに接続すると、本物のロゴとアカウントリセットを促す本物のようなプロンプトが表示され、悪意のあるアプリケーションをダウンロードするためのリンクは、公式に見えるボタンやアイコンの背後に隠されていました。例えば、キャンペーンでインストールされたアプリの多くの亜種の一つは、アイコンにSamsungのロゴが使われており、偽のSamsungウェブサイトへと誘導していました。
Android版の攻撃では.apkファイルが使用されました。AndroidアプリはGoogle Playストア以外から自由にインストールできるため、攻撃者は被害者に特別な証明書をインストールするよう説得する必要はありませんでした。
その後、Android デバイスの被害者には、ネットワーク ステータス、ユーザー認証情報、連絡先の詳細へのアクセス、提供されている外部ストレージ デバイスの読み取りなど、多くの権限が攻撃者に付与されました。
iOSを使用している被害者は、エンタープライズ証明書のインストールを指示されました。ユーザーがこの手順に従うと、適切に署名された証明書によって、悪意のあるアプリはサイドローディング後にApp Storeの保護を回避できるようになりました。
iOS版の悪意あるアプリは、デバイスから情報を抽出するために6つの異なるシステムエクスプロイトを利用しており、アプリは複数の部分に分割され、それぞれが特定のエクスプロイトを使用していました。これらのエクスプロイトのうち4つは、ジェイルブレイクコミュニティによって作成され、検証レイヤーをバイパスしてシステムへの完全なルートアクセスを解除するために使用されていました。
iOSのサンドボックス化により、抽出されたデータの量は限定的でした。メッセージングアプリ「WhatsApp」のローカルデータベースなどのデータは被害者から取得されましたが、サンドボックス化により、アプリが他のアプリに直接接続して情報を直接盗むことは阻止されました。
Googleは、この攻撃の被害に遭ったAndroidユーザーに対し警告を発しました。また、Google Play Protectに変更を加えたほか、攻撃者が利用した特定のFirebaseプロジェクトを無効化しました。
Appleはこれらの脆弱性を修正しました。iOS 15.2では、脆弱性チェーン全体に対する修正がリリースされました。
Appleユーザーは長らく悪意ある攻撃者の標的となってきました。2022年1月には、政府機関が民主化活動家のMacデバイスにマルウェアを仕込むことに成功しました。さらに最近では、4月に被害者のiCloudアカウントへのフィッシング攻撃により、65万ドル相当の資産が盗まれました。
iOSまたはiPadOSデバイスの所有者は、組織外の証明書をインストールしない限り、この種の攻撃から保護されます。また、メッセージサービスを通じて発信されたCTA(行動喚起)について質問がある場合は、メッセージの前に確立された明確な連絡手段を用いて企業に直接問い合わせることも推奨されます。
6 月 24 日午前 7 時 (東部標準時) 更新: エクスプロイト チェーン全体を阻止するための Apple のパッチ適用作業の確認を記載して更新しました。
