ZeroDayRATが、iOSやAndroidの端末に感染する仕組み
端末を感染させるには、操作者が悪意のあるバイナリ(実行可能ファイル)を端末に送り込む必要がある。AndroidではAPK(アプリのインストールファイル)、iOSではペイロード(攻撃用プログラム)の形をとる。
理論上は、これは簡単に実行できる。ケリーは、最も一般的な手口はスミッシング(SMSを使ったフィッシング)だと述べる。「被害者はリンク付きのSMSを受け取り、正規アプリに見えるものをダウンロードしてインストールしてしまいます。フィッシングメール、偽のアプリストア、WhatsApp(ワッツアップ)やTelegramで共有されるリンクも同様に攻撃に使えます」。
スパイウェア運用者が、感染した端末から入手できる情報
ターゲットの端末が感染すると、スパイウェア運用者が最初に目にするのが「概要」タブである。端末モデル、OS、バッテリー、国、ロック状態、SIMおよび通信事業者情報、デュアルSIMの電話番号、時間別に分解したアプリ利用状況、ライブのアクティビティ・タイムライン、直近のSMSのプレビューが、単一画面に表示される。
この画面だけで、感染したユーザーをプロファイル化できる。誰と話しているか、最もよく使うアプリは何か、いつ活動しているか、どのネットワークに接続しているかが分かる。下へスクロールすると、銀行サービス、通信事業者、個人的な連絡先から傍受したメッセージが表示される。
概要以外にも、各データの流れごとに専用のタブが用意されている。ケリーは「GPS座標は取得され、位置履歴とともに埋め込みのGoogle Maps(グーグルマップ)表示にプロットされるため、運用者は感染ユーザーが今どこにいるかだけでなく、どこにいたかまで追跡できます」という。
通知も個別に取得される。WhatsAppのメッセージ、Instagram(インスタグラム)の通知、不在着信、Telegramの更新、YouTube(ユーチューブ)のアラート、システムイベントなどが含まれる。ケリーは「アプリを1つも開かなくても、攻撃者は端末内で起きているほぼすべてを受動的に把握できます」という。
より問題になりやすいパネルの1つが「アカウント」タブである。端末に登録されているすべてのアカウントが列挙され、それぞれに紐づくユーザー名またはメールアドレスが表示される。ケリーは「これは基本的に、攻撃者がアカウント乗っ取りを試みたり、標的型のソーシャルエンジニアリングを仕掛けたりするのに必要な情報のほぼすべてです」と述べる。
「監視」タブでは、ライブのカメラ映像配信、画面録画、マイクの音声取得など、リアルタイムの物理的アクセスが可能になる。ケリーは「GPS追跡と組み合わせることで、運用者は標的を同時に見て、聞いて、位置特定できます」と警告する。
