Multi-License Discount Quote
脅威データベース Mobile Malware LianSpy モバイルスパイウェア

LianSpy モバイルスパイウェア

Mobile Malware, SpywareMezoまで
翻訳内容:
日本語

少なくとも2021年以来、ロシアのユーザーは、これまで文書化されていなかったLianSpyと呼ばれるAndroidの侵害後スパイウェアの標的になっています。サイバーセキュリティ研究者は2024年3月にこのマルウェアを発見しました。専門家は、このマルウェアがコマンドアンドコントロール(C2)通信にロシアのクラウドサービスであるYandex Cloudを使用していることを強調しました。これにより、専用インフラストラクチャを回避して検出を回避できます。LianSpyは、スクリーンキャストをキャプチャし、ユーザーファイルを抽出し、通話ログとアプリリストを収集できます。

このスパイウェアの配布方法は不明だが、研究者らは、未知のセキュリティ上の欠陥か、標的の携帯電話への直接的な物理的アクセスを通じて配布される可能性が高いと示唆している。マルウェアが組み込まれたアプリケーションは、Alipay または Android システム サービスに偽装されている。

LianSpy スパイウェアはどのように動作するのでしょうか?

LianSpy は起動すると、管理者権限でバックグラウンドで動作するシステム アプリとして実行されているかどうかを判断します。そうでない場合は、連絡先、通話履歴、通知にアクセスしたり、画面にオーバーレイを描画したりするためのさまざまな権限を要求します。

また、スパイウェアはデバッグ環境で実行されているかどうかをチェックし、再起動後も維持される構成を設定します。その後、ランチャーからアイコンを隠し、スクリーンショットの撮影、データの抽出、キャプチャする情報の種類を指定するための構成の更新などのアクティビティを開始します。

LianSpy のいくつかの亜種には、ロシアで人気のインスタント メッセージング アプリケーションからデータを収集するオプションや、マルウェアが Wi-Fi またはモバイル ネットワークに接続されている場合にのみ実行されるかどうかを制御するオプションなどが含まれています。

LianSpy は設定を更新するために、脅威アクターの Yandex ディスク上で正規表現「^frame_.+.png$」に一致するファイルを 30 秒ごとに検索します。見つかった場合、そのファイルはアプリケーションの内部データ ディレクトリにダウンロードされます。

LianSpyスパイウェアのステルス機能

収集されたデータは暗号化され、SQL データベース テーブルに保存されます。このテーブルには、データの種類と SHA-256 ハッシュが記録されます。この盗まれた情報を復号化できるのは、対応する RSA 秘密キーを持つ脅威アクターだけです。

LianSpy は、Android 12 で導入されたプライバシー インジケーター機能を回避することでそのステルス性を実証しています。この機能では、ステータス バー アイコンを表示するために、マイクとカメラのアクセス許可を要求するアプリケーションが必要です。

LianSpy の開発者は、Android のセキュリティ設定パラメータ「icon_blacklist」にキャスト値を追加することでこの保護を回避し、通知アイコンがステータス バーに表示されないようにしました。さらに、LianSpy は「NotificationListenerService」を使用してステータス バー通知を処理および抑制することで、呼び出されるバックグラウンド サービスからの通知を非表示にします。

脅威アクターが合法的なサービスを悪用するケースが増えている

LianSpy の高度な機能には、ルート アクセスを取得するために「su」バイナリ (名前を「mu」に変更) を使用するというものがあります。これは、マルウェアが未知のエクスプロイトまたはデバイスへの物理的アクセスを通じて配信される可能性が高いことを示しています。

LianSpy は、一方向のコマンド アンド コントロール (C2) 通信を実装することでステルス性も重視しており、マルウェアは受信コマンドを受信しません。収集したデータの送信と設定コマンドの保存の両方に Yandex Disk を使用します。

Yandex Disk の認証情報は、マルウェアの亜種ごとに異なるハードコードされた Pastebin URL を介して更新されます。正規のサービスを利用すると、難読化の層がさらに追加され、帰属が複雑になります。

スパイウェア ツールの最新版である LianSpy は、ゼロデイ脆弱性を悪用して Android と iOS の両方のモバイル デバイスをターゲットにします。通話ログやアプリケーション リストの収集などの標準的なスパイ活動の戦術に加えて、画面の録画と回避を秘密裏に行うためにルート権限を使用します。名前が変更された「su」バイナリを使用していることから、最初の侵害の後に二次感染が発生する可能性があることが示唆されます。

トレンド

LYRA 早期採用詐欺

Phishing, Spam
LYRA アーリー アダプター詐欺は、詐欺師が正規の LYRA ウェブサイト (lyra[.]finance) の偽コピーを作成する欺瞞的な計画です。この偽サイト、register-lyra[.]finance は、疑いを持たない訪問者を騙して暗号通貨資金の損失につながる行動を起こさせることを狙っています。ユーザーは、この詐欺サイトとのやり取りを避けるよう強く勧められています。 連邦取引委員会(FTC)によると、2021年初頭から46,000人以上がさまざまな詐欺により10億ドル以上の仮想通貨を失ったと報告しています。この金額は、報告された損失額の約4分の1に相当し、仮想通貨詐欺が金銭的...

Daggerfly APT Group

Mac Malware, Advanced Persistent Threat (APT), Malware
北京と提携し、国家の支援を受けているハッカー集団「Daggerfly」は、台湾の組織と中国で活動する米国の非政府組織 (NGO) を標的にしています。同集団は、これらの攻撃に、強化された一連のマルウェア ツールを使用しています。この攻撃は、同集団が内部スパイ活動も行っていることを示しています。NGO への攻撃中、ハッカー集団は Apache HTTP サーバーの脆弱性を悪用して、 MgBot...
ご注意ください!仮想通貨を盗む偽のZoomマルウェア詐欺が発見されるスクリーンショット

ご注意ください!仮想通貨を盗む偽のZoomマルウェア詐欺が発見される

Computer Security
仮想通貨詐欺師らは、悪質なZoomの類似アプリを使ってユーザーを騙し、マルウェアをインストールさせ、多額の仮想通貨を盗む新たな手口を考案した。7月22日、「NFT_Dreww」として知られる非代替性トークン(NFT)収集家兼サイバーセキュリティエンジニアが、ソーシャルメディアプラットフォームX上でこの巧妙な詐欺行為を一般の人々に警告した。 詐欺の仕組み この詐欺は、ソーシャル エンジニアリン...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
84,070
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

Issue
65,105
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
64,636
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...