Monokleは2018年ごろから確認されているスパイウェアです。
現在も更新が続いています。
スパイウェアは、場合によってはアドウェアとされることもあり、グレーなものとなることもありますが、誰がどのようにどこで使うかによっては、完全にマルウェアとなることもあります。
先日、戦争下にある国の法執行機関が拘束した反戦活動家が拘束を解除された際に返却されたスマートフォンに、いつの間にかソフトウェアが仕込まれていたことがわかりました。
実際にだれがいつ何のために仕掛けたのかは定かではありませんが、状況を考えると想像は容易です。
ここで設置されていたマルウェアが、更新されたMonokleとみられるものでした。
- トロイ
Monokleは正規のアプリケーションを装った形で端末にインストールされます。
端末はAndroidでした。
そして、それは人気Androidアプリ「Cube Call Recorder」を偽装した状態になっていました。 - アクセス権
正規のそのアプリはアプリの意図した動作ができるためにいくつかの権限を使用します。
正確な位置情報へのアクセス、電話の録音、連絡先情報の取得、です。
これはアプリの目的を考えると妥当に思えます。
しかし、トロイのアプリはさらに多くの権限を要求します。
アプリケーションが使用されていないときの位置情報へのアクセス、SMSメッセージの読み取りと送信、追加パッケージのインストール、カレンダーエントリの読み取り、スクリーンキャプチャの記録、デバイス上の他のアプリケーションの一覧表示、電話に出る、アカウントの詳細取得、カメラでのビデオ録画、です。
これらの権限を使うことで、マルウェアはさまざまな活動が実施できる状態になります。 - 機能
広い範囲の権限を使って実現できる状態となった機能は次のようなものです。
位置追跡、スクリーンキャプチャ、キーロギング、通話の録音、デバイスからのファイル抽出、保存されたパスワードの抽出、他のメッセージングアプリからのメッセージの読み込み、新しいデバイス管理者の追加、Javascriptの挿入、シェルコマンドの実行、デバイスのロック解除パスワードの抽出、です。
自分の使用する機器が手元を離れることがあった際には、再度利用を開始する前に状態をよく確認する必要があるということでしょうか。
脆弱性対策などを実施できている場合でも、物理的にアクセスできると、いろいろなことが可能になってしまいます。
物理セキュリティの重要性を再認識しました。
Something to Remember Us By Device Confiscated by Russian Authorities Returned with Monokle-Type Spyware Installed
https://citizenlab.ca/2024/12/device-confiscated-by-russian-authorities-returned-with-monokle-type-spyware-installed/
| この記事をシェア |
|
|---|
