Googleの脅威分析グループ(TAG: Threat Analysis Group)は6月23日(米国時間)、「Spyware vendor targets users in Italy and Kazakhstan」において、商業スパイウェアベンダーがAndroidおよびiOSユーザーを標的にしていると伝えた。商業スパイウェアベンダーによって開発されたアプリが民主主義の価値観に反する政府の支援を受けたサイバー犯罪者に販売され、利用されているいう。
Googleは長年にわたり商業スパイウェアベンダーの活動を追跡し、ユーザーを保護するための活動を行っている。今回の調査では、イタリアのスパイウェアベンダーであるRCS Labが行ったキャンペーンが紹介されている。RCS LabはLookoutによって報告されたAndroidスパイウェア「Hermit」を開発したベンダーとしても知られている(参考「実在する企業を偽り個人情報窃取するAndroidスパイウェア「Hermit」登場 | TECH+」)。
キャンペーンでは、ユーザーにユニークなリンクが送信されるという。リンクをクリックすると、AndroidまたはiOSのいずれかに悪意のあるアプリ(スパイウェア)のインストールが要求される。モバイル端末のデータ接続が無効化され、回復するためにアプリのインストールを勧めるSMSが送られてくるケースも報告されている。
Googleの脅威分析グループによると、RCS LabのスパイウェアはAndroidユーザだけでなくiOSユーザーも攻撃対象にされるとのことで、分析したアプリに使われている脆弱性を報告している。
iOS版スパイウェアアプリに悪用されている脆弱性は次のとおり。
- CVE - CVE-2018-4344
- CVE - CVE-2019-8605
- CVE - CVE-2020-3837
- CVE - CVE-2020-9907
- CVE - CVE-2021-30883
- CVE - CVE-2021-30983
脅威分析グループは、商用スパイウェア業界がかなりの速度で成長していると指摘。RCS Labのような商業スパイウェアベンダーが危険なハッキングツールを販売することで、スパイウェアを作れない政府を武装化させていると警告している。同グループは商用スパイウェア業界を監視し、使われている技術などの情報を公開してユーザーの安全とセキュリティを向上させたいとしている。