ブルーコートラボが発見し、カスペルスキーラボが確認した「軍人、外交官、企業幹部」をターゲットにした大規模かつ高度な新たなスパイ活動は、Microsoft Windows の脆弱性を悪用し、Android、Blackberry、iOS デバイスへの感染を狙うが、感染対象はジェイルブレイクされた iPhone と iPad のみに限定されている。
新たに発見されたマルウェアネットワークは、 ArsTechnicaのダン・グッドイン氏によるレポートで詳細に取り上げられており、見出しでは「AndroidとPC」に加え、「外交官のiPhone」も攻撃の標的として大きく挙げられている。iOSデバイスをジェイルブレイクしない限り、マルウェア自体はインストールできないという事実については触れられていない。
このマルウェアは「非常に洗練され、包括的であるため、十分な資金力のある国の支援がなければ開発できなかったであろう国際的なスパイ活動」で外交官を標的にしており、記事では「Windows、Android、BlackBerry、iOSで動作するデバイス」を標的にしていると説明されているが、デバイスが事前にジェイルブレイクされていない限り、マルウェア自体はiOSにインストールできないという事実については触れられていない。
ブルーコート社は、ステルス攻撃の「極めて高度な」難読化層に基づいて攻撃者の身元を隠すことから「インセプション」という名前を作り出したが、同社のブログ投稿では、攻撃の標的としてiOSを挙げているものの、攻撃を受けるにはiOSデバイスのセキュリティをジェイルブレイクによって無効にする必要があるという事実には一切触れていない。
同サイトは、感染を防ぐためには「ソフトウェアを常に最新の状態に保ち、携帯電話を脱獄せず、非公式のソースからアプリをインストールしない」べきだとアドバイスしていたが、これは本質的には、GoogleのAndroidプラットフォーム目標を容赦なく非難し、AppleがiOSユーザーのために推進してきたセキュリティポリシーを熱烈に支持する内容だった。
iOSに感染するには、高度なハッカーでも脱獄が必要
Blue Coat は、この件に関する別のホワイト ペーパー (PDF) の中でのみ、WhatsApp アプリのアップデートを装った Inception マルウェアが、「Cydia インストーラーを偽装し、ジェイルブレイクされた携帯電話にのみインストールできる」Debian インストーラー パッケージとしてパッケージ化されていると指摘しました。
同紙はまた、この攻撃は進化しており(2013年に初めて登場した際、カスペルスキー研究所が「レッド・オクトーバー」と名付けた)、現在ではマイクロソフトのスカイプではなく、ますます人気の高いワッツアップを装っていると指摘した。
ユーザーがインストールすると、この脱獄マルウェアは iOS デバイスのシリアル番号や電話番号を収集し、バッテリーレベル、メモリ使用量、その他のステータス情報や設定をスパイし、アドレス帳のエントリや iTunes がインストールしたアプリの名前をスヌープすることができます。
iOSマルウェアのほとんどは脱獄を必要とする
以前にも複数のマルウェアツールが同様に脱獄を必要とすることが明らかになっており、特に最新のiOSにアップデートした大多数のAppleユーザーにとって、実質的な脅威とはなり得ません。Appleは、脱獄を可能にするセキュリティ脆弱性の排除に積極的に取り組んでいます。脱獄とは、システムセキュリティを無効化し、ユーザーがiTunes App Storeを経由せずにソフトウェアを「サイドロード」してインストールできるようにする行為です。
サイドロードアプリは通常、海賊版ですが、AppleがApp Storeでの販売を承認していないソフトウェアが含まれている場合もあります。iOSのジェイルブレイク(脱獄)は、ユーザーにとってますます魅力を失ってきています。特に中国では、かつては高かったiOS搭載端末のジェイルブレイク率が、正規アプリの選択肢が中国で利用できるようになったことで急落しています。
8月には、政府や法執行機関がGamma GroupのFinFisherスパイウェアを使用してAndroidおよびiOSユーザーを監視していたことが明らかになったが、このマルウェアをインストールするにはiOSの脱獄も必要だった。
同様に、11月には新たなWireLurkerとMasque Attackのマルウェアが詳細に説明されましたが、どちらのマルウェアも、ユーザーがiOSデバイスを脱獄するか、同様にMacがAppleによって検証された開発者によって署名されたソフトウェアのみを実行するように制限するOS XのGatekeeperをオフにする必要があります。
GoogleのAndroidはiOSよりも優れたマルウェアを持っている
ジェイルブレイクされた iOS デバイスを狙う Inception マルウェアは、対応する Android APK パッケージよりもはるかに有用性が低いようです。Android APK パッケージも、ユーザーがインストールできる WhatsApp アップデートを装っています。
Blue Coatは、「このマルウェアの主な目的は、通話音声を録音することだと思われる。録音は*.mp4ファイルとして保存され、CloudMeインターネットストレージサービスを使用して定期的に攻撃者にアップロードされる」と詳細を説明した。
AppleのiCloudとは無関係ですが、スティーブ・ジョブズは2011年、iOS 5とOS X LionでiCloudの新機能を発表するわずか数か月前に、スウェーデンのXcerion社からiCloudブランドを買収しました。その後、Xcerion社はCloudMeにブランド名を変更しました。このマルウェアは、Androidユーザーから窃取したデータの保存にこのクラウドサービスを利用していたようです。
Android 上の Inception マルウェアは、感染した Android スマートフォンから盗み出した通話記録を CloudMe サービスを利用して保存するだけでなく、「ユーザーのアカウントデータや位置情報から、連絡先やカレンダー、リモートおよびローカルに保存したファイル、マイクの音声、着信および発信通話、ユーザーのブラウザのブックマーク、着信テキストまで、さまざまな情報を収集できる」とセキュリティ企業は詳述している。
同社はさらに、「暗号化されたC&Cプロトコルを通じて、攻撃者はマルウェアにコマンドやバイナリアップデートを発行できる」と付け加えた。
カスペルスキー研究所は、同じスパイネットワークの詳細を明らかにし、「クラウド・アトラス」と名付けました。同社は、インセプション/クラウド・アトラスによるマルウェア攻撃は、2012年に初めて公表した類似の「レッド・オクトーバー」攻撃の復活版のように見えるものの、最新版では検出を回避するために新たな、より洗練された手段が用いられていると指摘しています。
Inception/Cloud Atlas は外交官や政府機関を特にターゲットにしているようですが、Android には現在多くの脆弱性攻撃が活発に行われているため、Bluebox Labs は Google Play がデバイスをスキャンして一連の問題を特定するためのソフトウェア ツールを開発しました。
ブルーボックスは先月、米国の大手小売業者がホリデー特売品として現在販売している12種類の新しいAndroidタブレットを調査し、低価格のデバイスのすべてに「衝撃的な」セキュリティ上の欠陥、マルウェア、アクティブなバックドアがインストールされていることを発見した。
