🍋

5-1. スパイアプリ解析( L3MON編)

に公開
Android
Security
静的解析
スマホ
ハッキング
tech

今回はL3MONの解析を紹介します。

L3MONとは

L3MONとはGitHub上に公開されているアプリで、GitHub上の紹介によると、”L3MONは、セキュアなNode.jsダッシュボードを通じてAndroidデバイスを管理するためのWebベースのリモート管理ツール(Android-RAT)です。倫理的ハッキング、セキュリティリサーチ、およびペネトレーションテストを目的とした、リアルタイム監視、データ抽出、リモート制御に対応しています。” とのことです(原文英語をAIで和訳)

倫理的ハッキング、セキュリティリサーチ、およびペネトレーションテストを目的”という記載に加えて、Disclaimerにも、Educational(教育目的)と記載されていますので、セキュリティの教育目的で作られたスパイアプリです。そのため悪用禁止です。

そこで、今回はこのL3MONを解析して、スパイウェアの特徴と対策を検討していきたいと思います。

L3MONの機能

まず、L3MONの機能を見ていきましょう。
かなり多機能です。"GPS Logging"(GPS追跡), "Microphone Recording"(マイク機能を使った録音), "View Contact"(連絡先情報の閲覧)、、、etc、です。どれも悪用されると危険な機能ですね。

これらの中でも、今回は、マーカー部分の"SMS Logs"(SMSの閲覧), "Send SMS"(SMSの送信)を見ていきます。SMSが閲覧されると、プライベートや仕事上のメッセージが閲覧されちゃいますし、SMSで受信する二段階認証のワンタイムパスワードも閲覧されちゃいます。また、SMS送信機能が悪用されると、自分の知らないところでフィッシングメールやマルウェアが添付されて送信され、それを知人や取引先が開封することで被害が拡大してしまいます。

L3MONの実装
本ブログでは、コードの解析を目的としているところ、読者による悪用禁止のため入手方法については割愛します。
詳細は、GitHub上に公開されていますが、2025年10月18日時点ではread-onlyになっており、DLできないようです。

L3MONのデモ
実際にL3MONを起動させたデモを紹介します(画像が荒くて恐縮ですが、ご容赦ください💦)

デモ用のAndroidスマートフォンにL3MONをインストールしました。画面左側はL3MONがインストールされたスマートフォンです。そして青の枠部分がスパイアプリL3MONです。普通のアプリですね。

画面右側上部分解説用につけたメモ、同下半分は攻撃者がスパイアプリをコントロールするダッシュボード(以下「攻撃者用ダッシュボード」)です。
攻撃者用ダッシュボードの ”SMS Manager"(オレンジの枠部分)を押すと、スマホ内のSMS機能をリモートで無断で閲覧できるようになります。
実際に押すと、緑の枠部分にSMSメッセージの一覧が表示されます。ここでは”一休.com”にログインするためのワンタイムパスワードが表示されています。これにより、せっかくアカウントに2段階認証を掛けていても無効化されますね。

続いて”Send SMS"機能のデモです。

攻撃者用ダッシュボードの赤枠部分で、送信先を入力し(今回は適当に”00000000000”)、メッセージを入力して(今回は適当に”Hellow!”)、最後に”Send”ボタンを押します。
その後、左側のスマートフォンを見ると、青の枠部分で送信先”00000000000”に宛てに、”Hellow!”(”w”は識別用のミススペルです。)というメッセージが勝手に送信されていることが分かります(もちろん”00000000000”は無効な電話番号なので送信エラーになっていますが)。

以上がL3MONの紹介です。恐ろしい機能ですね。次からはこれらの機能について静的解析を紹介します。

Discussion