ブラジルの携帯電話スパイウェアがハッキングされ、被害者のデバイスがサーバーから「削除」された

テッククランチイベント

WebDetetiveへの侵入の背後にいる人物は不明であり、ハッカーたちは連絡先情報を提供していません。TechCrunchは、被害者のデバイスをネットワークから削除したというハッカーの主張を独自に確認することはできませんでしたが、キャッシュ内のデバイス識別子をWebDetetiveのサーバー上の公開エンドポイントと照合することで、盗まれたデータの真正性を検証しました。

WebDetetive は、携帯電話のパスコードを知っている人物によって、本人の同意なしに携帯電話に埋め込まれるタイプの携帯電話監視アプリです。

このアプリは一度埋め込まれると、携帯電話のホーム画面上のアイコンを変更し、スパイウェアの検出と削除を困難にします。WebDetetiveはその後すぐに、メッセージ、通話履歴、通話録音、写真、携帯電話のマイクからの周囲の音声録音、ソーシャルメディアアプリ、リアルタイムの正確な位置情報など、ユーザーの携帯電話のコンテンツを密かにサーバーにアップロードし始めます。

これらの「ストーカーウェア」（または配偶者ウェア）アプリは被害者の個人情報や機密性の高い電話データに広範囲にアクセスできるにもかかわらず、スパイウェアはバグが多く、粗雑なコーディングで知られているため、すでに盗まれた被害者のデータがさらに危険にさらされるリスクがあります。

WebDetetive、OwnSpyに出会う

WebDetetiveについては、監視機能以外ほとんど知られていません。スパイウェアの作成者が、スパイウェアの作成や他者への違法な監視を助長することに伴う評判や法的リスクを考慮して、現実世界の身元を隠蔽したり、難読化したりすることは珍しくありません。WebDetetiveも例外ではありません。

しかし、侵害されたデータ自体からは WebDetetive の管理者についての手がかりはほとんど得られないが、そのルーツの多くは、広く使用されている別の電話スパイアプリである OwnSpy にまで遡ることができる。

TechCrunchはWebDetetiveのAndroidアプリをウェブサイトからダウンロードし（AppleとGoogleはストーカーウェアアプリをアプリストアから禁止しているため）、仮想デバイスにアプリをインストールしました。これにより、位置情報などの実際のデータを入力することなく、隔離されたサンドボックス内でアプリを分析することができました。WebDetetiveアプリにどのようなデータが流入・流出しているかを把握するため、ネットワークトラフィック分析を実行したところ、OwnSpyのスパイウェアを大幅に再パッケージ化したコピーであることが判明しました。WebDetetiveが自身を識別するためにサーバーに送信するユーザーエージェントは、仮想デバイスのダミーデータをWebDetetiveのサーバーにアップロードしているにもかかわらず、依然としてOwnSpyを名乗っていました。

OwnSpyは、アントニオ・カラトラバ氏が経営するマドリードに拠点を置くMobile Innovations社によってスペインで開発されました。同社のウェブサイトによると、OwnSpyは少なくとも2010年から運用されており、5万人の顧客を抱えていると主張していますが、これまでにOwnSpyが侵入したデバイスの数は不明です。

OwnSpyはアフィリエイトモデルも運用しており、アフィリエイトサイトのアーカイブコピーによると、アプリのプロモーションや「顧客への新製品」提供といった形で他者が手数料を得る代わりに、OwnSpyが利益の一部を受け取る仕組みとなっている。OwnSpyとWebDetetiveの間に、他にどのような業務上のつながりが存在するのかは不明である。Calatrava氏はコメント要請に応じなかった。

Calatrava氏にメールを送信してから間もなく、OwnSpyの既知のインフラの一部がオフラインになりました。TechCrunchによるOwnSpyアプリのネットワークトラフィック分析では、本記事の公開時点でOwnSpyのスパイウェアアプリが一時的に機能停止していたことが判明しました。WebDetetiveのアプリは引き続き機能しています。

破壊的な攻撃？

WebDetetiveは、ここ数ヶ月でデータ破壊的なハッキングの標的となった2社目のスパイウェアメーカーです。ポーランドの開発者Rafal Lidwin氏が開発したスパイウェアアプリ「LetMeSpy」は、ハッキングによって被害者の携帯電話データがLetMeSpyのサーバーから流出・削除された後、サービスを停止しました。Lidwin氏はこの事件に関する質問への回答を拒否しました。

TechCrunch の集計によれば、少なくとも 12 社のスパイウェア企業が近年、粗雑なコーディングと簡単に悪用されるセキュリティ上の脆弱性により、被害者の盗まれた電話データを公開、漏洩、またはその他の方法でさらに危険にさらしている。

WebDetetiveの創設者レオナルド・ドゥアルテ氏はコメント要請に応じなかった。WebDetetiveのサポートメールアドレスに、データ侵害について、スパイウェアメーカーがバックアップを保有しているかどうかを含め、メールを送ったが、返信はなかった。スパイウェアメーカーが顧客や被害者にデータ侵害を通知するかどうか、また通知に必要なデータや記録をまだ保有しているかどうかは不明である。

破壊的な攻撃は、頻度は低いものの、スパイウェアの被害者にとって意図しない危険な結果をもたらす可能性があります。スパイウェアは通常、スパイウェアアプリが動作を停止したり、被害者の携帯電話から削除されたりすると、加害者に警告を発します。そのため、安全対策を講じずに接続を切断すると、スパイウェアの被害者は危険な状況に陥る可能性があります。ストーカーウェアの被害者や生存者を支援する団体「ストーカーウェア対策連合」は、携帯電話が侵害されたと疑われる人向けのリソースをウェブサイトに掲載しています。

WebDetetiveを見つけて削除する方法

ほとんどの電話監視アプリとは異なり、WebDetetive と OwnSpy は Android のホーム画面でアプリを隠すのではなく、Android システムに表示される Wi-Fi アプリに偽装します。

WebDetetiveは比較的簡単に検出できます。アプリ名は「WiFi」で、白い背景に青い円の中に白い無線アイコンが描かれています。

タップして長押しするとアプリ情報が表示されますが、アプリの実際の名前は「Sistema」です。

安全であれば、お使いのスマートフォンからAndroidスパイウェアを削除するための一般的なガイドをご用意しています。Google Playプロテクトは、悪意のあるAndroidアプリからデバイスを保護するデバイスセキュリティ機能であるため、オンになっていることを確認してください。Google Playの設定メニューからステータスを確認できます。

WebDetetive の創設者に関する詳細が更新されました。

ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン（1-800-799-7233）が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。また、スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合（Coalition Against Stalkerware）にもリソースがあります。