Kaspersky Lab、Android と iOS を標的にしたモバイルマルウェアを発見 – HackingTeam 社の C&C サーバーの分布図を公開

[本リリースは、2014 年6月24日にKaspersky Labより発表されたプレスリリースの抄訳です]

Kaspersky Lab は、イタリアの HackingTeam 社が開発した、合法的なスパイウェアツールとされる「Remote Control System（RCS：別名Galileo）」の世界中に広がる巨大なインフラストラクチャのマップを公開しました。同時に、Android と iOS の両方を標的とする新種のトロイの木馬についてもレポートで公表しました。これらのマルウェアモジュールは、Galileo の一部であることがわかっています。Kaspersky Lab と Citizen Lab が共同で調査を行った結果、被害者には人権活動家やジャーナリスト、政治家などが含まれていました。

RCS / Galileo のインフラストラクチャ

Kaspersky Lab は、世界中に拡大する Galileo の C&C サーバーの場所を特定するためにさまざまな調査を行ってきました。弊社のエキスパートは、既存のサンプルをリバースエンジニアリングし、そこから得られた特定のインジケーターと接続データを頼りに識別を行いました。
最近では、320 台以上の Galileo の C&C サーバーが日本を含む 40 か国以上に存在し、その数が多い国順は、米国、カザフスタン、エクアドル、英国、カナダということが判明しました。
この調査結果について、弊社のプリンシパルセキュリティリサーチャー、セルゲイ・ゴロバーノフ（Sergey Golovanov）は、「サーバーが存在する国の当局がそれらを使用しているとは限りません。しかし、Galileo を利用する者にとって、国境を越えることにより生じる法的な問題やサーバーの押収を回避できることから、コントロール可能な地域に C&C サーバーを設置するのは合理的な手段かもしれません」と述べています。

モバイル用 RCS / Galileoモジュール

HackingTeam 社の Android および iOS を狙ったトロイの木馬は知られていますが、これまで実物の確認や攻撃への使用は見つかっていませんでした。Kaspersky Lab のエキスパートは、数年間 RCS マルウェアの調査を行ってきましたが、今年に入り、あるモバイル向けモジュールサンプルが、同社のコレクション内の別の Galileo マルウェアコンフィギュレーションのプロファイルに一致していることを突き止めました。最近では、弊社のクラウドベースのネットワークKaspersky Security Network ^※1経由で、被害を受けたマシンから新たな亜種を入手しました。
さらに、HackingTeam 社のマルウェアに関する研究を行っている Citizen Lab のモーガン・マーキーボア（Morgan Marquis-Boire）氏と緊密に連携し調査を行いました。

感染手法 ： Galileo/RCS の運営者は、標的とした人物の個々のデバイス向けに埋め込む特別なマルウェアモジュールを開発しています。攻撃者が対象者のモバイルデバイスに準備したマルウェアを送り込む際に、ソーシャルエンジニアリングを利用したスピアフィッシングが用いられます。またゼロデイ攻撃を含むエクスプロイトや、モバイルデバイスの同期に使用する USB ケーブルを経由したローカル感染などを組み合わせた手法も使われています。
調査からは、Galileo が iPhone に感染する詳細もわかりました。マルウェアは、そのデバイスが脱獄（ジェイルブレイク）している場合に感染します。しかし、脱獄していない iPhone も安全ではありません。攻撃者は前もってマルウェア感染させたコンピューターを経由して、「Evasi0n」のような脱獄ツールの実行によりリモートコントロールで脱獄させ、その後に Galileo を送り込みます。感染リスクを避けるために、弊社のエキスパートは、まずは iPhone の脱獄を行わないこと、またデバイス上の iOS を常に最新バージョンに保つことを訴えています。

スパイ機能のカスタマイズ ： Galileo のモバイル向けモジュールは、デバイスのバッテリーを消費しないように動作します。たとえば、デバイスが特定の Wi-Fiに接続した時、またはユーザーが SIM カードを交換した時、あるいはデバイスを充電する時にのみモジュールを起動させるなど、スパイ機能やトリガーとなるアクションを慎重に調整しています。
一般的に、Galileo はさまざま監視機能を持っており、ユーザーの位置情報の通知、カメラでの撮影、カレンダーからのイベントのコピー、感染デバイスに挿入された新しい SIM カードの記録、通話やメッセージ（SMS、Viber、WhatsApp、Skype など）の傍受を含んでいます。

検知名 ： Kaspersky 製品は、RCS/DaVinci/Galileo を次の名前で検知します。
Backdoor.Win32.Korablin、Backdoor.Win64.Korablin、Backdoor.Multi.Korablin、Rootkit.Win32.Korablin、Rootkit.Win64.Korablin、Rootkit.OSX.Morcut、Trojan.OSX.Morcut、Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent、Trojan-Spy.AndroidOS.Mekir、Backdoor.AndroidOS.Criag

なお、マップを含む詳細レポートは Securelist.com をご覧ください。また、Kaspersky Daily ブログにも関連情報を掲載しています。

※1 Kaspersky Security Network （KSN）：クラウドベースのアンチウイルスネットワーク。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることで KSN に接続されたすべてのコンピューターを保護します。