SecurityInsight | セキュリティインサイト

マカフィー、LINEユーザーを標的にした高度なAndroidスパイウェア「Skygofree」について注意喚起

マカフィーは1月19日、公式ブログにおいて、LINEユーザーを標的にした高度なAndroidスパイウェア「Skygofree」について注意喚起を行なった。「Skygofree」に関してマカフィーのモバイルマルウェアリサーチチームがさらなる調査を行なったところ、このスパイウェアのターゲットは日本のユーザーである可能性が非常に高いことが判明したという。このスパイウェアの概要は以下のとおり。

1.スパイウェアの概要
「Skygofree」と呼ばれるスパイウェアは、イタリアのある企業によって開発されたとされるスパイウェアで、システムアップデートを装って端末にインストールされる。起動後アイコンをメニュー一覧から非表示にすることで、ユーザーによるアンインストールを回避している。

2.ターゲット端末のリスト
このスパイウェアでは、感染端末の脆弱性を効率的に攻撃するために端末のモデル名、ビルド番号、そして、利用可能な脆弱性コードの情報がデータベースとして管理されている。マカフィーがそのデータベースに含まれる端末一覧を分析したところ、京セラ HONEY BEE 201K、サムスン Galaxy S4 SC-04E、ソニーXperia VL SOL21といった日本の通信キャリアから発売された端末がリストの半数を占めていることが判明した。リストにある端末のモデルの発売時期を確認したところ、2012年~2013年頃に発売された端末が多いことから、OSやファームウェアのソフトウェアアップデートが提供されなくなった古い端末をそのターゲットになっている。

3.監視対象アプリ
このスパイウェアの監視対象となっているアプリの1つとして「LINE」が含まれており、LINEの連絡先および通話履歴を収集しようとしている。コマンド処理の優先順位として、Viber、Messanger、Facebook、WhatsAppを抑え、真っ先にLINEに関する情報を収集しているのは偶然ではないのかもしれない。このLINEアプリ内のユーザー情報を収集するコードが、スパイウェアのプログラムに実装されていることからも、このスパイウェアの標的はLINEアプリの利用者数が多い国を狙っているものと推測することができる。

4.結論
現時点では、日本国内の通信キャリアを騙り、偽のシステムアップデートのインストールに誘導するようなフィッシングページは発見されていない。しかし、脆弱性を突くためのターゲットデバイスの多くが日本で発売された端末であり、さらに日本で有名なメッセージングアプリ「LINE」がその監視対象であることから、このスパイウェアの標的は日本のユーザーであると推測できる。

今後、スパイウェアをインストールさせようとするフィッシングページがマルウェア作者によって作成される可能性があるので、日本のユーザーは気を付けなければならない。セキュリティアプリケーションを常に最新に保ち、提供元不明のアプリケーションを決してインストールしないようにし、ファームウェアやシステムアップデートは、端末メーカーや通信キャリアの公式ホームページまたは端末の設定メニューから行なうよう呼びかけている。
 

関連リンク

マカフィー公式ブログ