Hacking Teamから盗まれたデータは、同社の侵入手法に関する情報を次々と明らかにしています。最新の発見は、同社の主力監視ツールをインストールするために使用された偽のAndroidニュースアプリです。
このアプリは「BeNews」と呼ばれ、長い間閉鎖されていたニュースサイトと同じ名前だと、モバイル脅威対応エンジニアのウィッシュ・ウー氏はトレンドマイクロのブログに記した。
アプリ内には、Hacking Teamのリモートコントロールシステム(RCS)(別名ガリレオ)のAndroid版を読み込むために使用されたと思われるバックドアがある。RCSは同社が世界中の法執行機関や治安機関に販売しているデータ収集ツールである。
この悪意あるコンポーネントは、ローカル権限昇格の脆弱性(CVE-2014-3153)を悪用するとウー氏は記している。これは、パッチが適用されていないAndroidバージョン(Froyo 2.2からKitKat 4.4.4まで)に有効である。
「ハッキングチームは、標的のAndroidデバイスにRCSAndroidマルウェアをダウンロードさせるためのおとりとして、このアプリを顧客に提供したと考えています」とウー氏は書いている。
トレンドマイクロ トレンドマイクロは、ハッキングチームが、主力スパイツールをAndroidデバイスに配信する偽のニュースアプリを顧客に提供したと述べた。
GoogleはPlayストアで悪意のある可能性のあるアプリをスキャンしていますが、Hacking TeamはBeNewsがアップロード後に悪意のあるアプリとして分類されないようにする方法を考案したようです。Androidアプリは特定のアクティビティの許可を求めますが、BeNewsはGoogleによるブロックを回避するため、最初は3つの無害な許可のみを求めており、アプリにはエクスプロイトコードは含まれていないとWu氏は書いています。
スキャンに合格すると、動的読み込みを使用して悪意のあるコンポーネントをダウンロードし、ユーザーがダウンロードした後に実行します。
トレンドマイクロは、人権や市民の自由に関する実績に疑問のある国々にスパイツールを販売していたとして長年批判されてきたHacking Teamから窃取した400GBのデータの中に、バックドアとサーバーのソースコードを発見した。また、セキュリティ企業は、顧客向けに悪意のあるアプリの導入方法を説明した詳細な手順書も発見した。
データ漏洩以降、ハッキングチームは再編成し、顧客が「犯罪捜査および諜報捜査」を再開できるようRCSの新バージョンを開発する計画を発表した。
データ侵害により、複数のゼロデイ脆弱性が明らかになりました。その中には、ハッキング・チームの顧客が同社のソフトウェアをインストールするために利用していたAdobe SystemsのFlash Playerに存在する3つの脆弱性も含まれています。AdobeとMicrosoftはハッキング・チーム関連の脆弱性に対するパッチをリリースしており、同社は新たなゼロデイ脆弱性の修正が必要になる可能性があります。
