カスペルスキー研究所のリサーチャーが、サイバー監視を目的に設計された高機能モバイル向けマルウェア「Skygofree」を発見した。Skygofreeは2014年から活動しており、感染デバイスの位置情報を利用して周囲の会話や音を録音するといった、従来は見られなかった機能を持つという。

Skygofreeは多様な機能を備えたスパイウェアで、最初のバージョンが作成された2014年末以降、継続的なバージョンアップを繰り返してきている。マルウェアとしてのポピュラーな機能だけでなく、独自の機能も豊富。

冒頭でも触れた録音機能では、感染したデバイスのユーザーがオフィスに入ったタイミングや、経営者の部屋にいるときだけ盗聴するといったことが可能となっている。また、攻撃者が管理するWi-Fiネットワークに接続させ、ユーザーのデータトラフィックを収集して分析する機能も、かつて知られていなかった機能だ。ユーザーがすべてのWi-Fi接続を無効にしている場合でもバックグラウンドで接続を確立し、ユーザーの閲覧したサイト、入力したログインIDやパスワードなどを盗む。

ルート権限取得のためにエクスプロイトを使う機能、写真や動画の撮影、通話記録やSMSの盗聴機能、位置情報やスケジュール、メモリー内のビジネス関連情報を横取りする機能なども備えている。撮影機能ではデバイスのロック解除のときにユーザーの顔を撮影することも可能だ。

大手デバイスベンダーが実装する、画面がオフになると「保護されたアプリ」にないアプリをすべて終了するバッテリー節約技術も悪用。保護されたアプリのリストに自分自身を追加して、画面がオフでもプロセスが停止しないようにする。

さらに、Facebook Messenger、Skype、Viber、WhatsAppなどのコミュニケーションツールを監視するが、WhatsAppではAndroidが視覚や聴覚の不自由なユーザー向けに用意している補助機能のAccessibility Serviceを悪用して、メッセージを覗き見る。ユーザーへの許可リクエストは、一見無害な他のリクエストの背後に隠れてすり抜けてしまう。マルウェア機能のオンパレードといった印象だ。

Windowsも標的に

カスペルスキーのリサーチャーは、Windowsプラットフォームを標的にした、最近開発されたというモジュールも多数発見。攻撃者はWindowsユーザーもターゲットとして狙っていると報告している。

なお、Skygofreeの名称はドメインにちなんで命名されており、モバイルビデオサービスの「Skygo」とは無関係だ。大手の携帯通信事業者を装った偽のWebページを媒介にして巧妙に拡散してきたが、利用された偽のWebページの多くは拡散キャンペーンが最も盛んだった2015年に登録されており、最新のドメインが登録されたのは2017年10月だった。

カスペルスキーでは、Skygofreeの背後にいる開発者は監視ソリューションを提供しているイタリアのIT企業で、HackingTeam社とは異なるとコメント。あわせて、高性能なモバイルマルウェアは、検出とブロックがますます困難になっており、エンドポイントを攻撃から防御する高い信頼性を持ったセキュリティソリューションの実装を強く勧めている。