Googleも注意喚起!初期化しても消えないAndroid向けマルウェア「Chrysaor」

Googleは普段から「潜在的に有害なアプリケーション(Potentially Harmful App:PHA)」からAndroid利用者を守るために日々システムの改善に取り組んでいます。

通常、PHAの作者はより多くの被害者を増やすように働きかけるのですが、一部の作者はごく一部のターゲット(端末)にだけ感染させるために多大な労力や資金をかけるケースがあります。

この攻撃手段を「標的型攻撃」と呼びます。今回、そんな標的型攻撃に利用されるマルウェア「Chrysaor」についてGoogleが同社のセキュリティー関連ブログにて注意喚起を行っているのでご紹介したいと思います。

【標的型攻撃マルウェア「Chrysaor」とは】

Chrysaorは、イスラエルのセキュリティー関連企業「NSO Group Technologies」によって作成されたマルウェアである可能性が高いとされ、標的型攻撃に特化したプログラムとなっています。

Chrysaorが発見された当初は、iOSのみを対象としており、同じくカナダ・トロント大学におけるMunk School of Global Affairsの研究チーム「Citizen Lab」とウィルス対策アプリを提供している「Lookout」が解析したiOS向けのマルウェアである「Pegasus」と関連性が高いとされていました。

その後、GoogleがLookoutから疑わしいパッケージ名のリストを受け取って調査したところ数十のAndroid搭載機器にもPegasusに関連したソフトウェアがインストールされている可能性があることを突き止めました。

当該の不正アプリは、Android標準アプリ配信マーケット「Google Playストア」では公開されていませんでしたが、すぐにアプリの確認機能を使って、影響がある機器を特定しました。

Googleはさらに調査を行うため、影響がある機器からの情報収集および利用者への影響を調べるためにChrysaorの検体を採取しました。

Chrysaorはインストールされると、Androidスマートフォン(スマホ)などの機器内を監視し、マイクから音声を盗聴したり、カメラを使って盗撮したり、キーロガーなどのデータ収集をしたり、電話アプリやSNSアプリなどを盗み見ることができるとのことです。

また脆弱性を突いて不正に管理者権限になることができ、システムに侵入して単に初期化しただけでは、削除されないような仕組みが組み込まれており、その巧妙さには驚くべき点があります。

これを受けて、Googleでは影響を受ける可能性のあるユーザーへ連絡し、該当の不正アプリを無効化し、さらにすべてのユーザーを保護するためにアプリの確認機能のアップデートを行いました。

【Chrysaorの影響のある国・地域は?身を守るためには】

Googleが今回発表したレポートでは、Chrysaorの対象となる利用者を国・地域ごとに確認してみたところ、一番多かったのがイスラエルで、次いでジョージアやメキシコ、トルコと続きます。特に、イスラエルが突出していたようです。

chrysaor-number-of-affected-devices

一方、Chrysaorから身を守るためにユーザーは何か対策を取る必要があるのでしょうか。実はユーザー側は特に対策を取る必要がないのです。

GoogleはAndroidを使うすべてのユーザーを保護するために、Google Playストアを利用してPHAがインストールされることを防いでいます。さらにGoogleはPHA対策で得た詳細な技術情報をセキュリティー業界の発展のために随時提供しています。

このようにAndroidではGoogle Playストアによるセキュリティー機能で、PHAのインストールをブロックしてるのですが、さらにセキュリティ対策を行うにはどうすれば良いのでしょうか。Googleは下記の5つの基本的な対策を実施するよう挙げています。

  1. 信頼できるアプリケーションのみをインストールする
  2. ホーム画面をロックする
  3. システム更新を行い、最新のアップデートを適用する
  4. アプリの確認機能が有効になっていることを確認する
  5. 端末を無くさない

最後の「端末をなくさない」はPHAがインストールされるよりも端末をなくす可能性の方が高いので、Androidデバイスマネージャーで「端末を探す練習をしておいてください」とのことです。イメージトレーニングは大事ではありますが、Googleなりのジョークでしょうか……。

最後に標的型攻撃には多大な労力と資金が必要にもなること、初期化しても消えないような巧妙さ、特定の国の被害が多いことからChrysaorは国家ぐるみで作成された可能性が高いようにも思えます。杞憂であれば良いのですが。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
An Investigation of Chrysaor Malware on Android - Google Secutiry Blog