パスワードを記録できるスパイウェアが偽のSkypeとSignalアプリを使用して拡散される
攻撃者は、被害者をマルウェアに感染させる新しい興味深い方法を見つけるために、探求を止める余裕はありません。たとえば、Androidユーザーの場合、一見するとうまく機能しているが、以前ほど効果的ではない既知の感染経路があります。ハッカーは、懐中電灯やQRコードスキャナーなどの特定の機能をユーザーのデバイスに追加することを約束する単純なアプリケーションをしばしばプッシュします。インストール時に、アプリはアドバタイズされた機能にとって一般的ではない権限を要求しますが、人々はそれらを無視することがよくあります。案の定、彼らは後で、モバイルデバイスに悪意のあるソフトウェアが実際にインストールされていることに気づきました。
これは、今日まで機能する実証済みの方法ですが、ますます多くの人々がそれに気づいています。さらに、知名度の高い攻撃を受けやすくなる可能性のある人々は、自分自身を保護する方法を知っています。これは、脅威アクターがより大きな課題に直面していることを意味します。そして、確かに、彼らはそれに挑戦しています。
ハッカーはトロイの木馬化された正規のアプリケーションの助けを借りてマルウェアを拡散します
ThreatPostとの最近のインタビューで、Lookoutと呼ばれるセキュリティ会社のApurva Kumarが、ハッカーがマルウェアでターゲットを攻撃するために何を使用しているかについて話しました。人々がデバイスにインストールするアプリにもう少し注意し始めていることに気づき、攻撃者は正当で有名なオンラインサービスの名前を使ってそれらをだまそうとしています。
具体的には、一部のスパイウェアアクターがSkypeおよびSignalの名前を利用してターゲットをマルウェアのインストールに押し込んでいるとKumarは指摘しました。これら2つのアプリケーションの操作は、デバイスに保存されているカメラや連絡先リストなどにアクセスできるかどうかに依存します。つまり、ターゲットが不審になる可能性が低くなります。さらに、ユーザーには、QRコードのスキャンを約束するランダムなアプリではなく、既知の認識可能なブランドとロゴが提供されます(とにかく、お使いの携帯電話で可能なものです)。
Kumarの焦点は、ランダムなユーザーではなく、高価値の標的を狙った攻撃にあったと言わなければなりません。これらの攻撃では、悪意のあるアプリを世帯名で置くだけでは十分ではありません。調査員は、彼女が調べた事件では、詐欺師は正当なSkypeまたはSignalアプリケーションを取得し、それらを解凍して、内部に悪意のあるコードを挿入したと述べています。このようにして、ターゲットは通常の機能をすべて備えたアプリをインストールし、データが吸い上げられていることに気付かれる可能性が低くなります。
モノクルは生きていて蹴っている
Apurva Kumarのインタビューは、AndroidスパイウェアまたはMonokleと呼ばれる監視ウェアのファミリーを中心に行われました。それは少なくとも2015年以来存在していますが、Lookoutの専門家がそれを見つけて詳細に調査したのは去年の夏まででした。
セキュリティ会社は、非常に用途の広いスパイウェアを、特別な技術センター(STC)と呼ばれるロシアの会社に起因するとさえしています。 STCはAndroid向けのセキュリティ製品を開発していますが、ロシア政府との関係も強いと考えられています。 2016年、同社はオバマ政権によって米国大統領選挙に干渉したことで制裁を受けました。これは、Lookoutの属性が正確である場合、スパイウェアの配布を続行することを阻止するために実際に多くを行っていません。
通常のユーザーは、Monokleを搭載したトロイの木馬化されたSkypeおよびSignalアプリケーションの影響を受ける可能性は特にありません。前回の記事で述べたように、スパイウェアは非常に洗練されており、注目度の高いターゲットでのみ使用される可能性があります。ただし、これは他の攻撃者がSTCの申し立てられた戦術に注意を払わないことを意味するものではないので、一見認識できるアプリケーションをインストールしているときでも、あなたについてあなたの知恵を保つことはこれまでと同じくらい重要です。