GoogleのThreat Analysis Group（TAG：脅威分析グループ）が公開した調査レポートによると、現在Androidで発見されているスパイウェア「Hermit」は、ISP（インターネットサービスプロバイダ）の助けを借りて、ユーザーをだまして悪意のあるアプリをダウンロードさせているとのことだ。また、これに関連してセキュリティ研究グループ「Lookout」が報告した内容では、このスパイウェアはAndroid版のみならず、iOS版の存在も確認されたとのこと。そしてこのHermitは政府主導で開発された可能性が高いとのことだ。

ますます巧妙になるマルウェア感染の手口

Lookoutによると、「Hermit」と名付けられたスパイウェアは、イタリアのスパイウェアベンダーRCS Lab S.p.Aと、そのフロント企業として活動していると思われる通信ソリューション企業Tykelab Srlが開発した可能性が高いとのことだ。

Hermitが確認されたのは今回が初めてではなく、2019年にイタリア当局によって、反汚職活動で使用されたことが分かっているとのこと。また、クルド人居住地であるシリア北東部での使用の痕跡も見つかっているそうだ。

Hermitとは？

Hermitはモジュール式の脅威で、コマンド＆コントロール（C2）サーバから追加の機能をダウンロードすることができる。これにより、スパイウェアは被害者のデバイスの通話記録、位置情報、写真、テキストメッセージにアクセスすることができてしまうのだ。また、音声の録音、電話の発信および傍受、Androidデバイスへのルートアクセスも可能で、これにより、コアオペレーティングシステムの完全な制御が可能になるとのこと。

また、このスパイウェアは、携帯電話会社やメッセージングアプリを装う巧妙な手口によって、AndroidとiPhoneの両方に感染することができるという。Googleのサイバーセキュリティ研究者は、その巧妙な手口について明らかにしている。それによると、一部の攻撃者は実際にISPを利用して、被害者のモバイルデータ通信を遮断し、SMSで被害者の携帯電話会社を装って次のように連絡する「このアプリをダウンロードすればインターネット接続が回復します。至急ダウンロードしてください」と。そうして騙されたユーザーは悪意のあるアプリをダウンロードしてしまうのだ。攻撃者がISPに問い合わせをしたり出来ない場合は、一見すると本物のように思われるため、ユーザーは簡単に騙されてしまう。

LookoutとTAGの研究者によると、Hermitを含むアプリは、Google PlayやApple App Store経由で入手できるようにはなっていなかったという。しかし、攻撃者は、AppleのDeveloper Enterprise Programに登録することで、iOS上で感染したアプリを配布することができた。これにより、悪質業者はApp Storeの標準的な審査プロセスを回避し、”あらゆるiOSデバイスでiOSのコード署名要件をすべて満たす “証明書を取得することができたという。

The Vergeによると、Appleはこの脅威に関連するアカウントや証明書をすべて取り消したことを明らかにしているという。Googleは、影響を受けるユーザーへの通知に加え、Google Play Protectのアップデートを全ユーザーにプッシュしている。

マルウェアは以前こちらでも報告した、CryptoRomのように、段々と手口が巧妙になってきているため、それらから身を守るためにはより一層の注意が必要だ。

Hermitのようなスパイウェアから身を守る方法

現代人が常に携帯しているスマートフォンは、監視の対象としてこれ以上ないほど便利な物でもある。知らず知らずにスパイウェアで監視の対象となってしまう可能性を考慮しながら、組織と自分自身を守るための方法として、Lookoutは以下の方法を推奨している。