数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」

By Wesson Wang

数百台ものMacが数年間にわたり感染していたものの、数か月前まで研究者やセキュリティ専門家に気付かれていなかった「FruitFly」というmacOSをターゲットにしたマルウェアの存在が明らかになりました。

Mysterious Mac Malware Has Infected Victims for Years - Motherboard
https://motherboard.vice.com/en_us/article/zmv79w/mysterious-mac-malware-has-infected-hundreds-of-victims-for-years

セキュリティ会社のMalwarebytesが2017年1月に「FruitFly」というマルウェアを発見しました。FruitFlyはウェブカメラを通じて感染したMacのユーザーを監視し、画面をキャプチャーし、キー入力を記録するようプログラムされたマルウェア。FruitFlyは5～10年という長期にわたってMacに感染してきたことが明らかになっているのですが、これが検出されることはありませんでした。

それと同時に、FruitFlyの亜種とも言える「FruitFly 2」の存在も明らかになっています。これらは誰がばらまいたものなのか、何を目的にしたものなのかは不明だそうです。

By bfishadow

元スパイ機関のハッカーで、現在はApple用の無料のセキュリティツールを開発しているパトリック・ウォールド氏によると、2017年に見つかったFruitFlyの亜種である「FruitFly 2」は、アンチウイルスソフトで検出できないそうです。さらに驚くべきことに、このFruitFly 2は5年から10年もの長期にわたってMacの中に潜んでいたことが判明しており、世界中で数百台のMacが感染していることも明らかになっています。

FruitFlyやFruitFly 2を調査するウォードル氏らによれば、FruitFlyの感染方法は不明で、macOSのコードの欠陥を利用しているのか、ソーシャルエンジニアリングなどの方法でインストールされるのかさだかではないとのこと。さらに、AppleからはFruitFlyに関するコメントが得られていないそうで、ニュースメディアのMotherboardは「現在もMacが危険にさらされているのかどうかわからない」としています。

ウォールド氏は自身のTwitterアカウント上でFruitFlyの感染者リストを公開しており、感染者の数は約400人とのこと。

ウォールド氏によれば、メインサーバーがダウンしている際にバックアップサーバー経由でハッカーもしくはハッカーが制御しているボットなどにデータを送り返すようにプログラミングすることで、FruitFly 2を発見したそうです。さらに、バックアップドメインを登録して自身の仮想マシンにFruitFlyを感染させることで、この奇妙なマルウェアを解析したそうです。

ウォールド氏らによると、FruitFlyがどのような経路でMacに感染したのかは現時点では不明ではあるものの、洗練されていない印象を受けるので国家により作られたものではないと見ているそうです。また、感染したMacには研究施設の中のものもあるそうですが、ほとんどは一般の端末で、感染者の90％がアメリカまたはカナダの在住者だそうです。

また、FruitFlyはランサムウェアのようにお金を要求したり、クレジットカードの番号やパスワードを盗んだりすることにも関心を持っていないように思えるとのこと。加えて、ウォードル氏はFruitFlyとFruitFly 2を「監視用に作られたもののようだ」としていますが、FruitFly 2はマウスカーソルを動かしたりキーボードを遠隔操作したりすることができる機能を備えているので、FruitFlyよりもより高度な活動が可能です。なお、FruitFlyはPerlで書かれたマルウェアであり、これは古くからマルウェアで使用されている言語とのこと。

By American Advisors Group

「FruitFlyを使用しているのはスパイやサイバー犯罪者ではない。FruitFlyはそれらのタイプには適合しませんでした」とウォールド氏。また、「子どもがコンピューターを使う際は本当に慎重でなければいけない。また、使う端末がMacだからといって彼らが安全というわけでもない」と注意を促しています。

なお、ウォールド氏はラスベガスで開催予定のBlack HatとDef Conの中でFruitFly 2について語る予定です。