SMS、通話履歴、写真を盗む Android 用スパイウェア「Lipizzan」

by

この記事を公開できるよう尽力してきた SophosLabs の Jagadeesh ChandraiahFerenc László Nagy に感謝します。

Android ユーザーは注意が必要です。これまでに約 100 台のデバイスが Lipizzan と呼ばれるスパイウェアに感染しており、他のアプリからデータが抽出されると同時に、電話のアクティビティが監視される可能性があります。

大した感染数ではないように思えますが、どの研究者もこれは広範囲にデータを盗み出すツールではなく、標的型の精密なマルウェアのようだと指摘しています。Google の Android Developers Blog には、「Lipizzan のコードには、サイバー兵器を販売する企業 Equus Technologies 社への言及が含まれている」と書かれています。同社の LinkedIn のページには、「捜査当局、諜報機関、国家安全保障機関向けの革新的ソリューションの開発を専門とする会社」とあります。

Lipizzan は、「Backup」、「Cleaner」、「Notes」といった名前のアプリとして Google Play に掲載されていました。

Lipizzan はマルチステージ型のスパイウェアで、ユーザーの電子メール、SMS メッセージ、位置情報、音声通話、メディアを監視し、盗み出す機能を備えている、と研究者は説明しています。20 種類の Lipizzan アプリが、約 100 台のデバイスだけにターゲットを絞って配布されました。当該の開発者およびアプリは Google によってすでに Android エコシステムからブロックされています。また、問題のアプリは感染したスマートフォンから Google Play Protect によって削除されています。

Google の対応は迅速でしたが、このスパイウェアの登場は Android をターゲットにしたマルウェアが増加していることの証明でもあります。

SophosLabs が Lipizzan スパイウェアを分析した結果を以下に概説します。

あるサンプルでは、ステージ 1 のアプリケーションが「Notes Plus」として次のように表示されます。メモを取るための無害なアプリケーションのように見えます。

しかし、アセットの下を注意して見ると、Lipizzan には AES 暗号化された zip ファイルが存在し、実行時に復号化されてロードされていることが分かります。

ペイロード

すべての悪意のあるアクティビティを実行するのはステージ 2 の apk ファイルで、このファイルには Lipizzan スパイウェアのペイロードが含まれています。SophosLabs が調査したこのペイロードは、以下のコマンドを受信していました。

このペイロードには以下の機能があります。

  • 通話を記録する
  • スナップショットを撮影する
  • マイクを乗っ取る
  • 位置情報を取得する

スマートフォンの監視に加えて、次のように人気のアプリ、SMS、通話履歴からデータを取り込みます。

以下のアプリケーションからデータを盗み出します。

  • Skype
  • Hangouts (ハングアウト)
  • LinkedIn
  • Telegram
  • WhatsApp
  • Viber
  • 通話履歴
  • 電子メール
  • Gmail

ハングアウトと WhatsApp からデータを抽出するコードは次のとおりです。

デバッグ対策とエミュレータ対策

ステージ 2 のファイルでは、セキュリティ研究者を困らせることを目的として、テスト環境での分析を遅らせるためのデバッグ対策機能とエミュレータ対策機能が使用されています。

デバッグ対策機能は、adb が有効になっているかどうかをチェックします。adb は、研究者が別のコンピュータから Android デバイスとやり取りするために使用されるツールです。

エミュレータ対策機能は以下をチェックします。

  • Build_PRODUCT – sdk、google_sdk、sdk_x86、vbox86p (AndroVM)
  • Build_MANUFACTURER – unknown、Genymotion (一般的な Android エミュレータ)
  • Build.BRAND – generic、generic_x86
  • Build.DEVICE – generic、generic_x86、vbox86p
  • Build.MODEL – sdk、google_sdk、Android SDK built for x86
  • Build.HARDWARE – goldfish、vbox86
  • Build.FINGERPRINT – generic/sdk/generic、generic_x86/sdk_x86/generic_x86、generic/google_sdk/generic、generic/vbox86p/vbox86p

今後の予測と対策

上記のとおり、Google は Google Play から Lipizzan スパイウェアをブロックしています。ソフォスは Lipizzan を Andr/Lipizan-A として検出し、お客様を保護しています。

悪意のある Android アプリによる攻撃が続いており、無料の Sophos Mobile Security for Android などの Android ウイルス対策ソフトウェアを使用する必要があります。

たとえ Google Play に掲載されているものであっても、悪意のあるアプリや不要なアプリはインストールしないようにブロックすることで、多くの問題を回避できます。

Free tools

Sophos Firewall Home Edition

Boost your home network security.

Sophos Scan & Clean

Free second-opinion scanner for PCs.

Sophos Cloud Optix

Monitor 25 cloud assets for free.