FruitFlyは監視用マルウェアで、国家が関与しているかはまだ明らかになっていない。米国家安全保障局(NSA)の元アナリストで、現在はサイバーセキュリティ企業「Synack」の調査員であるPatrick Wardleは、これまで400件の感染事例を確認したが、実際の感染者数はこれをはるかに上回る可能性が高いという。
「私が確認できたのは、全被害者の数パーセントに過ぎない」とWardleは言う。Wardleは、ハッカーがメインサーバーがオフラインになった際にバックアップで使う予定だったドメインを登録することで、FruitFlyの被害者を明らかにすることができたという。どういう訳か、ハッカーらはドメインを所有していなかったという。
Wardleが被害者のIPアドレスを調べたところ、90%は米国に居住していることがわかり、名前も特定できたという。被害者の多くは個人だが、大学が所有するコンピュータも含まれているという。彼はすぐに警察に情報を提供し、近く開催されるセキュリティカンファレンス「Black Hat」で詳細を発表する予定だという。
Wardle によると、FruitFlyの主な目的はウェブカメラを通じてMacユーザーを監視したり、スクリーンショットを撮ることだという。「FruitFlyには広告やキーロガー、ランサムウェアといったサイバー犯罪の特徴は見られない。FruitFlyには、ユーザーがPCを利用しているときにハッカーに通知をし、マウスクリックやキーボードを遠隔操作する機能が備わっている」
FruitFlyがどのようにしてMacに感染するかは明らかになっていない。アップルにコメントを求めたが、回答を得ることはできなかった。
FruitFlyが発見されたのは今回が初めてではない。今年初めに、セキュリティソフトを開発する「MalwareBytes」が生物医学の研究施設をターゲットにした攻撃を検知している。
「FruitFlyは特定のターゲットに限定した攻撃に使われるため、これまでその存在がほとんど気付かれることがなかった。特定の組織と結びつく証拠はないが、生物医学の研究施設を狙っていることからすると、組織的なスパイ活動である可能性もある」とMalwareBytesの研究員であるThomas Reedは1月に語っている。