サイバーセキュリティ企業ESETの研究者のルーカス・ステファンコによると「Signal Plus Messenger」と呼ばれるこのアプリは、彼らがGREFと名づけたハッカーによるもので、本物のSignalアプリの通信を傍受するという。ハッカーは、サムスンのGalaxy Storeでもこの偽アプリを配信しているという。
シグナルの正規アプリのユーザーは、送受信するメッセージをデスクトップやiPadなどのデバイスにリンクさせることが可能だ。ハッカーが作成したSignal Plus Messengerは、この機能を悪用し、侵害されたデバイスを密かに彼らのシグナルアカウントに接続することで、すべてのメッセージを傍受しているとステファンコは述べている。
この攻撃の手口についてブログとYouTubeの動画を公開したステファンコによると、今回の攻撃は「秘密の自動リンク」を介したシグナルのハッキングが報じられた最初のケースだという。この攻撃はまた、中国とつながりのあるハッカーたちが、グーグルとサムスンのセキュリティチェックを回避する方法を発見したことを示しているが、同時に、シグナルの通信を盗み見るという前例のない試みでもある。
グーグルは、すでにGoogle Playからこの偽アプリを削除しており、シグナルのプレジデントのメレディス・ウィテカー(Meredith Whittaker)は、フォーブスの取材に対し「Playストアがシグナルを装ったこの悪質なマルウェアをプラットフォームから削除したことは喜ばしい。当社は、サムスンやその他の企業に対しても、このマルウェアを削除することを強く求めている」と述べた。
標的は新疆ウイグル自治区の人々
一方、ここで気になるのは、今回の攻撃と、以前の新疆ウイグル自治区の人々を標的とした攻撃との関わりだ。ステファンコによると、Signal Plus Messengerのコードと同じものが、以前のウイグル族を標的とした攻撃に使われていたという。彼は、同じハッキング集団が「Flygram」と呼ばれる偽のTelegram(テレグラム)のアプリを作成し、Google PlayやサムスンのGalaxy Storeで配信していたことを突き止めたという。このアプリをダウンロードするためのリンクは、ウイグル族向けのテレグラムのグループでも共有されていた模様だ。
ステファンコによると、Google Playでの偽のシグナルのアプリのダウンロード数は500に満たなかったが、この攻撃はそもそも特定のグループをターゲットにしていた可能性が高いという。
しかし、一方の偽のテレグラムのアプリは、より広範囲に影響を与えた可能性がある。ステファンコによると、FlyGramは、ユーザーがマルウェアの特定の機能を有効にした場合にテレグラムのバックアップにアクセス可能で、約1万4000個のユーザーアカウントで有効化されていた模様だ。
グーグルはESETの警告を受けてこれらのアプリを削除したが、サムスンは5月に通知を受けていたにも関わらず、まだ何の対処もしていないという。フォーブスは、グーグルとサムスンにコメントを求めたが、現時点で回答は得られていない。
(forbes.com 原文)
