セキュリティ研究者は、世界中の政府がモバイルデバイスからデータを密かに記録および盗むために使用できる商用スパイウェアのモバイルコンポーネントを分析および分析しました。
Kaspersky LabとCitizen Labの研究者によると、イタリアの企業Hacking Teamによって開発されたリモートコントロールシステムのモバイルモジュールにより、法執行機関およびintelligence報機関はAndroid、iOS、Windows Mobile、BlackBerryデバイスで幅広い監視アクションを実行できますトロント大学のムンク・スクール・オブ・グローバル・アフェアーズで。 ハッキングチームは、ダヴィンチおよびガリレオとしても知られるRCSを政府に販売し、デスクトップコンピューター、ラップトップ、およびモバイルデバイスをスパイします。 一部の国では、RCSは、政治的反対者、ジャーナリスト、人権擁護者、および反対する政治家をスパイするために使用されています。
カスペルスキーとシチズンラボの研究者は共同でモバイルモジュールをリバースエンジニアリングし、シチズンラボのモーガンマーキスボアとカスペルスキーのセルゲイゴロバノフは火曜日にロンドンで開催された記者会見でその結果を発表しました。
「かなり前から、HackingTeam製品に携帯電話用のマルウェアが含まれていたことはよく知られていました。しかし、これらはほとんど見られませんでした」とGolovanovはSecurelistブログに書いています。
RCSでできること
iOSおよびAndroidコンポーネントは、キーストロークを記録し、検索履歴データを取得し、電子メール、テキストメッセージ(WhatsAppなどのアプリから送信されたものも含む)、通話履歴、アドレス帳の秘密の収集を許可します。 被害者の画面のスクリーンショットを撮ったり、携帯電話のカメラで写真を撮ったり、GPSをオンにして被害者の位置を監視したりできます。 また、マイクをオンにして、電話やSkypeの通話だけでなく、デバイスの近くで発生した会話を録音することもできます。
「マイクを密かに作動させ、通常のカメラショットを撮影することで、ターゲットを常時監視できます。これは、従来のマントや短剣の操作よりもはるかに強力です」とGolovanov氏は書いています。
研究者によると、モバイルコンポーネントはターゲットごとにカスタマイズされています。 「サンプルの準備が整うと、攻撃者はそれを被害者のモバイルデバイスに配信します。既知の感染ベクトルには、ソーシャルエンジニアリングを介したスピアフィッシングが含まれます。デバイス」とゴロバノフは述べた。
監視の長腕
RCSのグローバルなリーチは広く、研究者は40か国以上で326台のサーバーを特定しています。 コマンドサーバーの大部分は米国でホストされ、続いてカザフスタン、エクアドル、英国、カナダがホストされました。 コマンドサーバーがそれらの国にあるという事実は、必ずしもそれらの国の法執行機関がRCSを使用していることを意味しない、と研究者は述べた。
「ただし、RCSのユーザーにとっては、国境を越えた法的問題やサーバーの差し押さえのリスクが最小限に抑えられる場所にC&Cを展開することは理にかなっています」とGolovanov氏は述べています。
最新の調査結果は、RCSインフラストラクチャの少なくとも20%が米国の12のデータセンター内にあることを研究者が発見した3月の以前のレポートに基づいています。
ステルスモードでの非表示
シチズンラボの研究者は、アラビア語のニュースアプリであるQatif Todayのコピーのように見えるAndroidアプリでハッキングチームのペイロードを発見しました。 悪意のあるペイロードが正当なアプリのコピーに注入されるこの種の戦術は、Androidの世界ではかなり一般的です。 ペイロードは、Androidオペレーティングシステムの古いバージョンの脆弱性を悪用して、デバイスのルートアクセスを取得しようとします。
「このエクスプロイトはAndroidオペレーティングシステムの最新バージョンに対しては効果的ではありませんが、多くのユーザーは依然として脆弱性のあるレガシーバージョンを使用しています」とシチズンラボの研究者はブログ記事に書いています。
AndroidとiOSの両方のモジュールは、高度な技術を採用して、携帯電話のバッテリーの消耗を防ぎ、特定のタスクを特定の条件で実行するタイミングを制限し、犠牲者が気付かないように慎重に動作します。 たとえば、被害者が特定のWiFiネットワークに接続している場合にのみ、マイクをオンにして音声録音を行うことができるとGolovanov氏は述べています。
研究者は、iOSモジュールがジェイルブレイクされたデバイスにのみ影響することを発見しました。 ただし、デスクトップまたはラップトップバージョンのソフトウェアに感染したコンピューターにiOSデバイスが接続されている場合、マルウェアはEvasi0nなどのジェイルブレイクツールをリモートで実行して、悪意のあるモジュールをロードできます。 これはすべて、被害者の知らないうちに行われます。
シチズンラボはまた、匿名ソースからハッキングチームのユーザーマニュアルのように見えるもののコピーを受け取りました。 このドキュメントでは、悪意のあるペイロードを被害者に配信するための監視インフラストラクチャの構築方法、被害者のデバイスから収集したインテリジェンスデータの管理方法、およびコード署名証明書の取得方法について詳細に説明しています。
たとえば、マニュアルでは、証明書にVerisign、Thawte、GoDaddyを使用することを推奨しています。 攻撃者は、ターゲットがSymbianデバイスを使用する場合、TrustCenterから「開発者証明書」を直接購入し、Windows Phoneに感染するためにMicrosoftアカウントとWindows Phone Dev Centerアカウントを登録するように指示されます。
この種の監視ソフトウェアの背後にある仮定は、買い手がこれらのツールを主に法執行目的で使用し、犯罪要素がそれらにアクセスできないことです。 ただし、これらが利用可能であるという事実は、政治的に動機付けられたターゲットに対して使用できることを意味し、全体的なセキュリティとプライバシーに重大な影響を及ぼします。