いまどきのAridSpy ｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

AridSpyはAndroid環境向けのマルウェアです。
新しいものではなく2021年頃から攻撃キャンペーンでの活動が確認されているマルウェアなのですが、最近また新たな機能が実装されて展開されています。

マルウェアのタイプ
AridSpyはスパイウェアです。
侵入経路
トロイの木馬として環境に入り込んできます。
さまざまなメッセージングアプリなどの形式で仕立てられています。
ベースには実際に存在するアプリが使われていて、それらにマルウェアを取り込む機構を加えたものが新たなメッセージングアプリであるとして配布されているような形式です。
マルウェアの部分は攻撃者の用意したC2から入手するのですが、この部分は2段階の取り込みを行う動きになっています。
いくつもの攻撃キャンペーンが現時点でも継続していますが一番最近開始されたものでは、求人アプリを装ったものとして配布されています。
環境確認機能
マルウェアの配置を行う前に、環境を確認します。
あらかじめリストされたセキュリティソフトが侵害環境上に存在するかを確認します。
リストされたセキュリティソフトがどれも見つからなかった場合、第1段階のペイロードが取得されます。
難読化
内容の解釈を困難にするため、内部実装で文字列の難読化が実施されています。
その手法は複雑なものではなく、文字列配列から動作時に必要な文字列を作り出すタイプの内容になっています。
この難読化は第1段階のペイロードでも第2段階のペイロードでも使用されています。
第1段階のペイロード
取り込まれたペイロードは侵害環境で復号化されます。
復号化のキーはマルウェアにハードコードされているものです。
そして動作を開始するとアプリの更新を促すような画面を表示し、ユーザにUPDATEボタンをタップさせます。
UPDATEボタンの実施する動作は第2段階のペイロードの入手です。
これが成り立った時点で、第1段階のペイロードを取り込むこととなった元のトロイの木馬となってしまっているAndroidのアプリはマルウェアの動作に必要ない状態となっています。
そのアプリをアンインストールしてしまっても、マルウェアの動作は継続されます。
第1段階のペイロードが第2段階のペイロードのためのトロイの木馬というか発射台のような動作をするようなことになっています。
第2段階のペイロード
この部分がマルウェアの本体部分です。
スパイ活動を開始します。
カメラ操作機能
スパイ活動の一つはカメラを悪用します。
スマホの利用者がロック画面を解除したタイミングでカメラを動作させて写真を取得します。
最後の撮影から40分以上が経過しているか、バッテリーが15%以上残っているか、という確認ができた場合、これは継続されます。
C2からの操作によってフロントカメラを使用するのかリアカメラを使用するのかは切り替えすることができるようになっています。
収集された写真はzipファイルのまとめられ、C2に送信されます。
ネットワーク通信の検出回避機能
実際に使用されるC2のドメインとは別に検出回避用のドメインに通信する機構が用意されています。
これにより不正な通信が起こっていることを検出されにくくすることを狙った機構が実装されています。
C2への通信のタイミング
C2に取得した情報を送信するのですが、そのタイミングは基本的にはマルウェアがトリガーになっていません。
ネットワーク接続が切り替わる、なんらかのアプリがインストールされたりアンインストールされる、電話の発信と受信、SMSの発信と受信、充電器の接続や切断、こういったユーザがなんらかの活動を行ったタイミングでC2への送信が動作するようになっています。
C2からの操作で任意のタイミングで送信を行う機能も実装されていますが、こちらがメインではありません。
収集される情報
カメラで取得した情報も収集される情報の一つですが、それ以外にもさまざまな情報を収集します。
デバイスの場所、連絡先リスト、電話履歴、SMSの内容、写真情報、録画した動画の情報、録音した音声、WhatsAppのデータ、ブラウザのブックマーク、クリップボードのデータ、外部ストレージのドキュメントデータ、こういったデータを収集して持ち出します。