Microsoft Threat Intelligence の IT 研究チームは、iPhone に感染するマルウェアの亜種に関するレポートを発表しました。この攻撃はイスラエルの企業QuaDreamに関連しているようだ。最初の症例は現在ヨーロッパで確認されています。当初はiOS 14 の携帯電話のみが影響を受けると考えられていましたが、現在では、より若いオペレーティング システムにも脆弱性があります。
販売用製品としての iOS マルウェア
Microsoft が DEV-0196 という識別子で調査している iOS マルウェアは、KingsPawn と名付けられています。このマルウェアは、影響を受ける携帯電話から機密データを盗んだり傍受したりするように設計されています。トロント大学マンクスクールのシチズンラボも発見したように、これまでの被害者には企業に加えて、ジャーナリストや政敵などを含む個人も含まれていた。
首謀者と疑われる QuaDream は、マイクロソフトによって、PSOA (民間部門攻撃者) としても知られる民間部門の攻撃者として分類されています。
「Microsoft はサイバー傭兵とも呼ぶ PSOA は、サービスとしてのアクセスを含むさまざまなビジネス モデルを通じてハッキング ツールやサービスを販売しています。 Access as a Service では、攻撃者は購入者がサイバー作戦で使用できる完全なエンドツーエンドのハッキング ツールを販売します。 PSOA自体は作戦の指揮や実行には関与していない。」
マイクロソフト
iOS マルウェア KingsPawn は、このカテゴリに分類されます。専門家らは政府全体が買い手に含まれる可能性があると疑っている。
悪意のあるコードは 2 つの賢い方法で動作します
iOS マルウェアが明らかに犯罪目的で関係者に配布されているという事実に加えて、特に悪質なのは、その基本機能です。これは 2 つの部分で構成されています。一方では、スマートフォン上のエントリを追跡および削除できる監視システムを備えています。一方、主要なマルウェア エージェントは追加の目的も果たします。
たとえば、監視エージェントはシステム内で自分自身を偽装することができます。痕跡が残る場合は、iOS システム内の影響を受けるディレクトリが自動的に削除されます。このように、KingsPawn はソフトウェアの保護手段も弱体化させます。脅威が存在するという証拠すらないため、iPhone は強制終了コマンドを送信できません。
ただし、アクティブな主要なマルウェア エージェントはさらに危険です。これにより、影響を受ける iPhone 上のデバイス情報を取得できるだけでなく、 iCloud キーチェーン内のパスワードの表示、位置の監視、ファイル ディレクトリの検索、さらには通話の録音も可能になります。携帯電話がこの iOS マルウェアに感染している人は、もはやプライバシーを失います。
この iOS バージョンは特に危険にさらされています
Microsoft Threat Intelligence チームが利用できるサンプルはすべて、iOS 14 を実行している iPhone からのものです。ただし、iOS 16 などの新しいオペレーティング システム用の、より最新の派生製品が簡単に存在する可能性があると彼らは推測しています。 KingsPawn の機能の一部は Android デバイスでも実行できます。
Microsoft によると、自分自身を守りたい人は、サイバー衛生の基本ルールに従う必要があります。これには、たとえば、不明な電子メールの添付ファイルを開かないことや、見知らぬ人からのデジタル カレンダーの招待を受け入れないことが含まれます。これは、悪意のあるコードを iPhone に注入するのに十分です。
さらなる保護のために、専門家は携帯電話のウイルス保護を推奨しています。 iPhone には、まさにこれらの危険から保護することを目的としたブロック モードもあります。これは、「設定」>「プライバシーとセキュリティ」>「セキュリティ」>「ブロックモード」で確認できます。ただし、多くのサービスはアクティブ化するとすぐにオフになることに注意してください。 Apple はすべての情報をここに明確にまとめています。
出典: Microsoft Thread Intelligence、Apple、Citizen Lab