Android ユーザーは LianSpy モバイル スパイウェアに注意してください

コンピューターセキュリティ研究者は、LianSpyというAndroidスパイウェアが少なくとも2021年からロシアのユーザーをターゲットにしていることを発見しました。2024年3月に発見されたLianSpyは、コマンドアンドコントロール（C2）通信にロシアのクラウドサービスであるYandex Cloudを使用しており、専用のインフラストラクチャを必要とせず、ステルス機能を強化しています。

主な機能と特徴

LianSpy は、スクリーンキャストをキャプチャし、ユーザー ファイルを盗み出し、通話ログやアプリ リストを収集する機能を備えた、非常に高度なスパイウェアです。セキュリティ研究者の Dmitry Kalinin 氏によると、このスパイウェアの機能は次のように拡張されます。

• 画面録画:スクリーンキャストとスクリーンショットをキャプチャします。
• データの盗難:ユーザー ファイル、通話履歴、アプリケーション リストの盗難。
• アプリの偽装: Alipay や Android システム サービスなどの正規のアプリを装います。
• 権限の不正使用:連絡先、通話履歴、通知にアクセスしたり、画面にオーバーレイを描画したりするために、広範な権限を要求します。

配布と永続性

LianSpy の正確な配布方法は不明ですが、Kaspersky は、未知のセキュリティ上の欠陥やターゲット デバイスへの物理的アクセスを通じて配布される可能性があると示唆しています。LianSpy は起動されると、管理者権限を悪用するシステム アプリとして実行されているか、秘密裏に動作するためにさまざまな権限を要求しているかを判断します。

また、マルウェアはデバッグ環境で実行されているかどうかを確認し、再起動後も永続的な構成を設定し、ランチャーからアイコンを隠し、データの流出や構成の更新などのさまざまな悪意のあるアクティビティを実行します。

高度なステルス技術

LianSpy は、検出を回避し、その持続性を確保するために、いくつかの高度な技術を採用しています。

• プライバシー インジケーターのバイパス: Android のセキュリティ設定パラメータ icon_blacklist を変更することで、マイクとカメラの使用状況を示すアイコンを表示する Android 12 のプライバシー インジケーターを回避します。
• 通知の抑制: NotificationListenerService を使用して、ステータス バーの通知を処理および抑制します。
• ルート アクセス: 「mu」という名前の変更された su バイナリを介してルート アクセスを取得します。これは、未知のエクスプロイトまたは物理アクセスによる配信の可能性を示しています。

コマンドアンドコントロールとデータ暗号化

LianSpy の C2 通信は単方向で、Yandex Disk を使用して盗んだデータを送信し、構成コマンドを受信します。収集されたデータは暗号化されて SQL データベースに保存され、脅威アクターだけがそれを復号するために必要な RSA キーを所有します。

構成の更新は、脅威アクターの Yandex Disk 上のファイルを 30 秒ごとに検索し、特定の正規表現に一致する場合はダウンロードすることで行われます。Yandex Disk の認証情報は、マルウェアの亜種ごとに異なる、ハードコードされた Pastebin URL から更新されます。

LianSpy は、高度な技術を利用してステルス性と持続性を維持し、進化を続けるモバイル スパイウェアの分野で大きな脅威となっています。Android のプライバシー機能を回避し、正規のサービスを利用して難読化を行う LianSpy の能力は、このような高度な脅威に対する防御がますます困難になっていることを示しています。これらの隠れたサイバー脅威から身を守るには、警戒を怠らず、セキュリティ対策を更新することが重要です。