| 研究者 2017年4月3日


2017年4月3日

Android版ペガサス:iOSの脆弱性を狙ったゼロデイ攻撃が、Android版でも見つかる

By Lookout

ルックアウトとGoogleは、モバイル端末を狙った非常に高度な標的型攻撃である「ペガサス」がAndroidも攻撃対象としている分析結果を発表しました。
Android版ペガサスの技術詳細はこちら(英語のみ)
「サイバー空間の武器商人」とも言われているNSOグループは、モバイル端末をジェイルブレイク/ルート化する標的型攻撃マルウェアを開発しています。昨年の夏、ルックアウトはセキュリティ研究機関であるCitizen LabからUAEの政治活動家を狙った「ペガサス」という攻撃について分析依頼を受けました。その結果、ルックアウトとCitizen LabはiOSを狙う脅威について調査結果を発表しました。The New York Timesによると、発見依頼この脅威はメキシコの活動家を標的とした非常に高度なスパイウェア活動に悪用されていると報道されています。
今回発見された、Androidを狙うPegasusの亜種のような脅威をGoogleはChrysaorと命名しましたが、ルックアウトではわかりやすくAndroid版ペガサスと呼んでいます。名称にかかわらず、明白であるのは、NSOグループは標的型攻撃を実施するためにさまざまなオペレーティング・システムを狙った非常に高度なモバイルスパイウェアを提供しているという点です。
脅威の発見
iOS版ペガサスの調査を行った際に、ルックアウトのセキュリティ研究者は膨大なデータセットを分析し、Androidアプリの異常な兆候を検知しました。Lookoutセキュリティクラウドでは、モバイルエコシステムで発生している事象について精緻かつ有効な情報をリアルタイムで保有しています。Lookoutセキュリティクラウドなしでは、Android版ペガサスを発見することは不可能だったことでしょう。
ルックアウトの分析結果では、Android版ペガサスはイスラエル、グルジア、メキシコ、トルコ、UAEなどの国のユーザーを攻撃していたことがわかりました。
攻撃された場合の被害
Android版ペガサスも、iOSと同様に情報を搾取するスパイ活動を行います。以下はAndroid版ペガサスが搾取する情報例です。
  • キーストローク
  • スクリーンショット画像
  • 電話などの音声
  • SMS経由でマルウェアを遠隔操作
  • WhatsApp、Skype、Facebook、Twitter、Viber、Kakaoを含むメッセンジャーアプリでのコミュニケーション内容
  • ブラウザ履歴
  • AndroidのネイティブEメールクライアントでやりとりされるメール内容
  • アドレス帳やテキストメッセージ
端末が危険にさらされていると把握した場合は、Android版ペガサスは自身を端末から削除する機能も実装しています。以下の状況において、Android版ペガサスは自身を削除することがわかっています。
  • SIM MCC IDが無効
  • 実行停止を意図したフラグファイルが存在する
  • 60日以上端末がサーバーにチェックインしていない
  • Android版ペガサスが自身を削除するコマンドをサーバーから受診した
これら分析の結果から、Android版ペガサスは非常に高度に設計されており、秘密裏に標的型攻撃を行っていることが分かります。
iOS版ペガサスとの違い
Android版ペガサスとiOS版ペガサスの大きな違いは、Android版ペガサスは端末をルート化するにあたりゼロデイ脆弱性を使わない点です。
iOS版ペガサスの調査を行った際、この脅威はiOSに存在する3つの脆弱性を悪用して端末をジェイルブレイクし、悪意のあるアプリをインストールすることがわかりました。よって、この3つの脆弱性を”Trident/トライデント”と命名しました。
一方で、Android版ペガサスは端末のルート化や悪意のアプリをインストールするためにゼロデイ脆弱性に頼らず、Framarootと呼ばれる一般的に出回っているルート化技術を悪用します。iOS版ペガサスの場合、最初のステップである脆弱性を狙った攻撃が失敗するとその後の攻撃は継続できなくなります。しかし、Android版ペガサスでは最初の攻撃が失敗しても別の手法で端末のパーミッションを取得してデータ搾取を行えるような仕組みが実装されています。つまり、最初に行うルート化攻撃が失敗しても攻撃が継続できるような「安全装置」が実装されているのです。
Android版ペガサスの攻撃手法ではより簡単に攻撃が行えるため、最初のルート化攻撃が失敗しても攻撃できる範囲が広がります。
被害者への通知
ルックアウトはAndroid版ペガサスについてGoogleに通知し、Googleのセキュリティチームと共同で本脅威に関して調査をしてきました。また、これを受けてGoogleは標的にされたと思われるユーザーに対しどのように脅威を修復するかの情報を連絡しています。
Android版ペガサスに感染した懸念があるユーザーは、ルックアウト(threatintel@lookout.com)までご連絡ください。
ルックアウトはAndroid版ペガサスの技術詳細についてレポート「Technical Analysis and Findings of Chrysaor」を用意しておりますので、ぜひご一読ください。(英語のみ)

投稿者

Lookout

コメントする

送信


0 コメント