Kaspersky Labは8月5日(現地時間)、「LianSpy: Android spyware leveraging Yandex Disk as C2|Securelist」において、ロシアの個人を標的とするAndroid向けスパイウェア「LianSpy」を発見したと伝えた。このスパイウェアは2024年3月に発見されたが、2021年7月から活動していたとされる。

  • LianSpy: Android spyware leveraging Yandex Disk as C2|Securelist

    LianSpy: Android spyware leveraging Yandex Disk as C2|Securelist

スパイウェア「LianSpy」の正体

Kaspersky Labの分析によると、スパイウェア「LianSpy」はメッセージの窃取に重点を置いた高度なマルウェアとされる。専用のインフラストラクチャを持たず、自律的に動作する。また、その機能から特定の標的の情報を収集する目的があるとみられている。

LianSpyは収集したデータをクラウドストレージの「Yandex Disk」に暗号化して保存する。暗号化にはAES暗号を使用するが、その鍵の生成に安全な疑似乱数生成器(PRNG: PseudoRandom Number Generator)を使用する。動的に生成された鍵は公開鍵を使用して暗号化され、Yandex Diskに保存される。

そのため、秘密鍵を知る攻撃者のみが復号できることになる。セキュリティ研究者の分析により、Yandex Diskの認証情報が漏洩したとしても、被害者の情報を秘匿する目的があるものと考えられている。

LianSpyの主な機能は次のとおり。

  • メッセージの窃取
  • インストールされているアプリ一覧の窃取
  • 通話記録の窃取
  • 連絡先リストの窃取
  • 通知を無効にしたスクリーンショットの窃取
  • 通知を無効にした画面キャプチャー

なお、LianSpyからはロシアで人気のメッセージアプリのパッケージ名が発見されている。このことから、標的はロシアのAndroidユーザーの可能性が高いと推測されている。

未知の攻撃者

LianSpyの初期感染経路は明らかになっていない。また、過去のマルウェアキャンペーンと重複する点も発見されていない。そのため、攻撃者とその目的は不明とされ、Kaspersky Labは引き続き活動を注意深く監視するとしている。

感染経路が明らかになっていないため、このマルウェアについては対策が提示されていない。Kaspersky Labは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。