セキュリティ研究者らによると、カスタムビルドの強力な標的型「Android」マルウェアが特定の個人を監視するために配備されているという。
モバイルセキュリティ企業のLookoutによって発見されたリモートアクセス型トロイの木馬「Monokle」は、標的に対してスパイ活動を行うことを可能にする侵入的な機能を多数備えている。
これらの機能には、キーロギング、写真や動画の撮影、ウェブブラウザーやソーシャルメディアサービス、メッセンジャーといったアプリの履歴の取得、ユーザーの位置情報の追跡などが含まれる。
さらに、Monokleには、信頼できる証明書をインストールして、デバイスへのルートアクセスを取得する機能もある。これにより、攻撃者はデータを盗むために独自の機能を展開することができる。
こうした機能の多くは、アクセシビリティーサービスを悪用して、サードパーティーのアプリケーションからデータを盗むようにカスタマイズしたり、ユーザーの予測テキスト辞書を使用して、ユーザーの関心を引きそうな話題についての洞察を得たりすることで実現されている。また、このマルウェアは、ロックが解除されるときの画面を記録することで、被害者のパスコードを取得できるようにする。
Lookoutのシニアスタッフセキュリティインテリジェンスエンジニアで、Monokleについて調査した担当者の1人であるAdam Bauer氏は米ZDNetに対し、「Monokleは、高度で豊富な機能を備えたモバイル監視ソフトウェアだ。モバイルデバイスを通しての監視を必要とするあらゆる目的に使用可能だ」と述べた。
Monokleは現在、「Android」デバイスのみを標的としているが、研究者らによると、このマルウェアのいくつかのサンプルには、「iOS」バージョンの存在を示す未使用のコマンドとデータ転送オブジェクトが含まれており、このグループが将来、「iPhone」も標的にしたいと考えている可能性を示唆しているという。
このマルウェアは2016年以降、実際に使用されるようになったと考えられている。コーカサス地方(アルメニアやアゼルバイジャン、ジョージアなど)やシリアの個人を標的としている可能性があるという。影響を受けたユーザーの総数は不明だ。
Lookoutは、MonokleとSpecial Technology Centre(STC)の間につながりがあることを確認したとしている。STCは、サンクトペテルブルクを拠点とするロシアの企業だ。
STCは、オバマ政権が2016年12月に制裁を科したロシア企業の1社だ。米国に対する「悪意のあるサイバー利用活動に関与した」とされていた。Lookoutによると、この防衛関連企業は、2016年の米大統領選への介入で、ロシア軍参謀本部情報総局(GRU)に物質的な支援を提供したという。
Monokleは広範なキャンペーンではないが、この監視マルウェアは現在も活発に配備されていると研究者は述べている。
LookoutはMonokleの詳細なレポートで、80件を超えるIOC(脅威が存在する痕跡)について明らかにしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
