Googleは3日(米国時間)、新たに発見されたスパイウェア「Chrysaor」について詳細を公開した。Android上で動作し、端末の初期化を行なっても排除不可能で、隠匿のため一定の条件でスパイウェア自身が削除されるなどの周到な設計が特徴。

Googleによると、これはイスラエルの企業NSO Group Technologiesがサイバー兵器として開発したものである可能性が高い。また、標的型攻撃に用いられるもので、現時点では少数の端末の感染が確認されたのみのようだ。

Chrysaorは感染した端末内の監視や、SMS、通話記録やメッセージなどの情報を収集するほか、キーロギング機能や、バックグラウンドで攻撃者と通話することで室内を盗聴する機能まで備えたスパイウェア。脆弱性を利用して不正に管理者権限に昇格し、サンドボックスを無効にして活動する。

また、感染するさいにシステムパーティションにインストールされるため、端末の初期化を実行しても除去できない。

さらに、存在を隠匿するためか、Chrysaorには自己消去機能も備わる。攻撃者が用意したサーバーと60日以上通信が確立できない場合や、攻撃者が指示した場合、開発者が用意したと思われる「解毒剤ファイル」が決まったディレクトリに存在する場合に、この機能が発動する。

Chrysaorは過去にもGoogle Playに存在した形跡はなく、標的型攻撃に用いられるスパイウェアであるため、大半のユーザーは脅威にさらされる恐れはない。Googleにより、14億台中三十数台の感染が確認されたのみとなる。

Googleは対策として、Google Playのような信頼できるソースからソフトウェアをインストールすることや、端末のパスワードやPIN、パターンロックを強固にすること、デバイスを常に最新状態に保つことなどを推奨している。