セキュリティ研究者らは、電子監視がいかに標的を絞ったものになり得るかを示す事例として、ペガサスとして知られるiOSスパイウェアのAndroid版を発見した。
「Chrysaor」と呼ばれるこのAndroid版の亜種は、メッセージングアプリからデータを盗み、携帯電話のカメラやマイクを盗聴し、さらには自分自身を消去することさえできる。
グーグルとセキュリティ企業ルックアウトは月曜日、スマートフォン監視製品の開発で知られるイスラエルのセキュリティ企業NSOグループが出したとみられるAndroidスパイウェアを公開した。
幸いなことに、このスパイウェアは一般大衆に広まることはありませんでした。Googleによると、被害者のデバイスにインストールされた回数は30回未満で、そのほとんどはイスラエル国内にありました。その他の被害者のデバイスは、ジョージア、メキシコ、トルコなど、他の国にもありました。
ユーザーはおそらくフィッシング攻撃などによって、悪意のあるコードをダウンロードさせられたと考えられます。インストールされると、このスパイウェアはキーロガーとして機能し、WhatsApp、Facebook、Gmailなどの人気アプリからデータを盗み出す可能性があります。
グーグルさらに、携帯電話の国コードが検出されない場合に起動する自殺機能も備えています。これは、Android OS がエミュレータ上で実行されていることを示しています。
監視機能は、NSO グループとも関連づけられている Pegasus に搭載されているものと類似しています。
当時、Lookoutはこのスパイウェアを、これまでデバイス上で確認された中で最も高度な攻撃だと評しました。iOS版の亜種は、これまで知られていなかった3つの脆弱性を悪用し、スマートフォンを乗っ取ってユーザーを監視していました。
このスパイウェアは、アラブ首長国連邦の人権活動家が感染しているのが発覚したことで発覚しました。彼の携帯電話には、スパイウェアへの悪意のあるリンクが含まれたSMSテキストメッセージが届いていました。
Appleはすぐにパッチをリリースしました。しかし、LookoutはNSO GroupがAndroid版を開発しているかどうかについても調査していました。この調査のため、セキュリティ企業はiOS版がiPhoneに侵入する方法を比較し、そのシグネチャを特定のAndroidアプリ群の不審な動作と照合しました。
これらの調査結果はGoogleと共有され、Googleは影響を受けたユーザーを特定することに成功しました。しかし、iOS版とは異なり、Android版は実際には未知の脆弱性を悪用するものではなく、古いAndroidバージョンの既知の欠陥を悪用しています。
Chrysaor は Google Play では一度も入手できなかったが、感染した端末が少数見つかったことから、ほとんどのユーザーは Chrysaor に遭遇することはないだろうと検索大手は述べた。
NSOグループは公開ウェブサイトを運営していないが、同社に送った電子メールには返答がなかった。
