メッセージングサービス「WhatsApp」での会話の内容を盗み出す、「Android」をベースにした新種のスパイウェアが、オンライン上のオープンプロジェクトとして開発されていることが明らかになった。
ESETの研究者であるLukas Stefanko氏によって発見されたこのマルウェアは、WhatsAppのメッセージを盗み出すだけでなく、各種の典型的な監視機能を装備してもいる。
G DATA SecurityLabsによって実施された同マルウェアに関する調査によると、このマルウェアのコードは「OwnMe」というプロジェクト名で、GitHubのパブリックリポジトリ上に存在していたという。
このマルウェアは、サービスオブジェクトとしてOwnMe.classを起動するMainActivity.classなどで構成されている。サービス起動時には「Service started」(サービス開始)というポップアップメッセージが表示されるため、同マルウェアはまだ開発段階にあると考えられる。
ランサムウェアのような、特定の目的を持つコードは例外だが、マルウェアファミリの大半は感染したデバイス上でひっそり活動したり、ある種の隠ぺい手段を用いたりすることで、その存在を隠そうとする。
特にスパイウェアやストーカーウェアの場合、被害者にその存在を知られてはならないため、このようなメッセージが最終ビルドに含まれることはまず考えられない。
OwnMe.classには数多くの変数が定義されているものの、少なくとも現在のところ、複数のフィールドが空の状態となっている。
なお、OwnMe.classは起動すると最初にstartExploit()メソッドを呼び出す。そして、実行環境がインターネットにアクセスできる場合には、サーバへの接続を確立する。
このマルウェアには興味深い機能が複数搭載されている。しかし一部の機能、例えばスクリーンショット取得機能といったものは、コード中には記述があるものの、まだ完成していないようだ。
G DATAは「スクリーンショット取得関数は実際のところ呼び出されておらず、現時点ではサーバに何も送信されない」と記し、「これは同マルウェアがまだ開発中であるというわれわれの仮説を補強するものだ」と続けている。
WhatsAppのデータを盗み出すための機能も実装されている。この機能は.phpのクエリを用い、ユーザーのWhatsAppデータベースの内容を、サービス起動時に取得したユーザー名とandroid-id変数の内容とともにコマンド&コントロール(C2)センターに送信する。
このマルウェアは、ユーザーのブックマークからタイトルや時間、URL、訪問履歴を取得するgetHistory()というメソッドも使用している。とは言うものの、このメソッドは少なくとも現時点では、保存されているブックマークの情報のみを取得するようになっており、被害者の閲覧履歴すべてを取得できるようにはなっていない。
このほか、連絡先や通話履歴、写真やカメラ機能、バッテリ残量、CPU使用状況も標的にされている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。