チェック・ポイントによると、マルウェアはIMSI(国際携帯機器加入者識別情報)、携帯電話番号、インストール済みのアプリ、ストレージ情報などを盗み取りサーバに送信するという。さらに脅威なのは、デートアプリが管理者権限を取得し、端末のカメラやカレンダー、位置情報、SMSデータ、アドレス帳、ブラウザ履歴などへのアクセス許可を求めてくることだ。
イスラエル国防軍の広報担当者は、「マルウェアに感染した兵士の身近にある情報や、端末のカメラが映せる範囲の情報が漏洩する可能性がある」と述べている。
チェック・ポイントの研究者らは、デートアプリの宣伝用ウェブサイトや、ドメインがNameCheapで取得されたものであることや、攻撃で用いられたセレブの名前などから、攻撃者が「APT-C-23」であると考えている。
心の隙を突く「ソーシャルエンジニアリング」攻撃
APT-C-23はイスラエルで活発に活動を行っており、ハマスに批判的なパレスチナ自治政府に攻撃を仕掛けたこともある。
イスラエル国防軍によると、アプリをインストールした兵士の数は数百人規模に達するという。さらに、被害に遭った兵士の中には、相手がハマスだと気づかずに1年間もチャットを続けていた者もいる模様だ。
近年は人々の心理的な隙につけこんで特定の行動をさせ、重要な情報を盗み出す「ソーシャルエンジニアリング」がますます進化している。イスラエル国防軍も、「今回の攻撃では高度なソーシャルエンジニアリングが用いられた」と認めた。攻撃者が、イスラエルに移住して日の浅い人の言葉遣いを真似たり、難聴を装ってビデオ通話ではなくメッセージでの会話を希望するケースがあったという。
技術面においても、今回の攻撃は過去に比べて洗練度を増している。通常、第2ステージのマルウェア攻撃ではドロッパーに続いて自動的にペイロードが配布される。しかし、今回は攻撃者が手動でペイロードを送ることでタイミングに柔軟性を持たせていた。
「今回の攻撃で、システム開発者の努力だけでは安全なAndroidエコシステムを構築することができないことを我々は改めて思い知った。システム開発者や端末メーカー、アプリ開発者、ユーザーが皆でこのことを認識し、行動を取ることで脆弱性を把握し、それを修正するプログラムが配信され、被害を防げる」とチェック・ポイントは警鐘を鳴らしている。
