Google の脅威分析グループ (TAG) のセキュリティ研究者は最近、「PREDATOR」と呼ばれる新しいマルウェアを使用して世界中の Android スマートフォン ユーザーがどのように標的にされたかを詳述するスパイウェア キャンペーンに関するレポートを発表しました。
報告書によると、攻撃者は以前、ALIEN と呼ばれる別のモバイル マルウェアを通じて PREDATOR を拡散していました。これは、侵害されたデバイスに PREDATOR スパイウェアを展開する前兆でした。
IPC (プロセス間通信) 経由で PREDATOR からコマンドを受信しました。これには、音声の録音、CA 証明書の追加の隠蔽、検出を逃れるためのアプリの隠蔽などが含まれます。
TAG チームによると、PREDATOR マルウェアは北マケドニアの商業監視会社 Cytrox によって開発され、Android ユーザーを標的として 5 つのゼロデイ脆弱性(Chrome の 4 つと Android の 1 つ)を悪用しました。
攻撃者によって悪用された 5 つの異なるゼロデイ脆弱性は次のとおりです。
- Chrome の CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003
- Android の CVE-2021-1048
「開発者は、一部の重大なバグにパッチが適用されたもののセキュリティ問題としてフラグが立てられなかったときと、これらのパッチが Android エコシステム全体に完全に展開されるまでの時間差を利用したため、0 日エクスプロイトが n 日エクスプロイトと並行して使用されました」と TAG 氏は述べています。研究者のクレメント・ルシーニュとクリスチャン・リセル。
TAG チームによると、Cytrox は政府支援のさまざまな攻撃者にスパイウェアを販売し、2021 年 8 月から 10 月にかけて開始された少なくとも 3 つのキャンペーンでスパイウェアを使用しました。
このエクスプロイトは、エジプト、アルメニア、ギリシャ、マダガスカル、コートジボワール、セルビア、スペイン、インドネシアの政府支援を受けた攻撃者によって使用されました。
これまで知られていなかった Chrome および Android の 5 つのゼロデイ脆弱性を悪用した 3 つのキャンペーンは次のとおりです。
- キャンペーン #1 – Chrome から SBrowser へのリダイレクト (CVE-2021-38000)
- キャンペーン #2 – Chrome サンドボックスからの脱出 (CVE-2021-37973、CVE-2021-37976)
- キャンペーン #3 – 完全な Android ゼロデイ エクスプロイト チェーン (CVE-2021-38003、CVE-2021-1048)
3 つのキャンペーンはいずれも、URL 短縮サービスを模倣した 1 回限りのリンクを、対象の Android ユーザーに電子メールで配信しました。クリックすると、被害者は ALIEN と呼ばれる Android ウイルスをインストールする攻撃者所有のドメインにリダイレクトされます。
次に、メイン ペイロードである「PREDATOR」を被害者のデバイスにロードし、ブラウザを正規の Web サイトにリダイレクトします。短縮リンクが機能しなかった場合、被害者は正規の Web サイトに直接誘導されました。
この手法はすでにジャーナリスト、政治活動家、役人などに対して使用されています。
キャンペーン中に使用された脆弱性は 2021 年に Google によってパッチされましたが、Android エコシステムにはまだ完全には導入されていません。 TAG チームによると、キャンペーンはまだ終わっておらず、さらなる攻撃が予想されます。
どうやら、政府支援の攻撃者にエクスプロイトや監視機能を販売する、さまざまなレベルの精巧さと一般公開を備えたベンダーが 30 社以上存在するようです。
このような脅威から常に保護するには、Android スマートフォンにソフトウェア アップデートを定期的にインストールすることをお勧めします。
見覚えのない送信元からのメールは開かないようにし、今後誤ってメッセージを開かないようにすぐに削除し、メッセージに付随する添付ファイルをダウンロードしないようにし、メッセージ内に表示されるリンクをクリックしないようにしてください。
