イタリアのデジタル権利研究者らが、携帯電話のアップデートを装う政府向けスパイウェア「Morpheus」を暴露した。感染手法は巧妙でありながら効果的で、通信事業者が被害者のモバイルデータを遮断し、サービス復旧用の偽アプリをSMSで送信する。インストールされると、マルウェアはAndroidのアクセシビリティ権限を悪用し、画面を読み取ってデータを盗む。
AndroidにおけるMorpheusの技術的欺瞞の仕組み 🕵️
インストールされると、偽のアプリはアクセシビリティ権限を要求し、スパイウェアが画面を読み取り、他のアプリと操作できるようになる。WhatsAppのデータ窃取はその動作の一例で、指紋認証を求める偽の画面を表示し、ユーザーがタップすると、知らぬ間に新しいデバイスの追加を許可してしまう。これにより、攻撃者はアカウントへの完全なアクセスを得る。Morpheusはゼロクリックエクスプロイトを使用せず、欺瞞に依存しているため、低コストスパイウェアに分類される。
WhatsAppを空にするために指紋を求める低コストウイルス 🔓
何より素晴らしいのは、この低コストスパイウェアが技術的な驚異である必要はないということだ。あなたのスマートフォンに緊急アップデートが必要だと説得し、ついでにWhatsAppで新しいデバイスを承認するために指紋を求める。まるで泥棒が鍵を直すために家の鍵を貸してほしいと頼み、あなたが喜んで渡してしまうようなものだ。結局、イタリアの企業IPSは30年にわたり合法的傍受を行ってきたが、単純な欺瞞がどんなエクスプロイトよりも効果的に機能することを学んだようだ。