LianSpyはAndroid向けのスパイウェアです。
あの手この手で、こっそりと活動します。
どんな動きをするのでしょうか。
- 始まり
感染経路は、まだ明確になっていません。
現在想定されている感染経路は、未知の脆弱性、または、ターゲットのスマートフォンへの直接の物理的アクセスを通じて展開される可能性です。 - 権限の要求
起動すると、自分自身の動作権限を確認します。
管理権限がすでにある場合は、そのまま活動に移ります。
そうでない場合は、画面オーバーレイ、通知、バックグラウンド アクティビティ、連絡先、通話ログなどの権限を要求します。 - デバッグ状態の確認
次に、スパイウェアはデバッグ状態で動作しているかを確認します。
デバッグ状態の場合、研究者に解析されているということなのでしょう、動作の継続は見込めません。 - 隠れる機能:アイコンがない
通常のAndroidのアプリは、インストールされた状態でアイコンが設定されています。
このため、アプリ一覧に表示されるようになります。
いくつかの種類のアプリは一覧に表示されないように作成されていますが、このスパイウェアも一覧には表示されません。
このため、インストールされたのかをアプリ一覧で簡単に判別することはできません。 - 隠れる機能:プライバシーインジケーター機能の回避
プライバシーインジケーター機能は、Android12で実装された安全のための機構です。
画面が録画されているときなどに、その行為を実行しているアプリがあることをステータスバーに表示することで、アプリの活動を見える化します。
LianSpyはこの機能を抑制したまま活動を行えるようになっています。
LianSpyの画面録画する機能が動作している際には、ステータスバーにその旨は示されません。 - 隠れる機能:痕跡のない画面保存
通常スクリーンキャプチャをOSの機能で実行した場合、それを実行した履歴が残ります。
しかし、LianSpyのスクリーンキャプチャ機能の動作では、通常デバッグのために使われる機能を使ってスクリーンキャプチャを実行するため、この履歴が残りません。
こっそりと画面が保存できてしまうのです。 - 隠れる機能:少ないC2との通信
LianSpyは、あまりC2と通信しません。
基本的に設置時に一緒に配置された設定ファイルの内容に従って自律的に動作します。
そして、専用のC2にデータを持ち出すのではなく、取得したデータは暗号化して一般的なCloud上のファイル共有サービスに送信します。
確認できている中では、この宛先にはYandex Diskが使用されます。
通信内容の傾向を分析することでこのスパイウェアの後ろの脅威アクターをあぶりだすことは難しそうです。
こっそりと活動するための機能がてんこ盛りです。
まさしくスパイウェアという感じがします。
感染してしまうと、気が付くことなく長期的に情報を抜き取られ続けてしまいそうです。
LianSpy: new Android spyware targeting Russian users
https://securelist.com/lianspy-android-spyware/113253/
| この記事をシェア |
|
|---|
