برنامج التجسس المحمول LianSpy

منذ عام 2021 على الأقل، تم استهداف المستخدمين في روسيا من خلال برنامج تجسس ما بعد الاختراق غير الموثق مسبقًا لنظام Android والمعروف باسم LianSpy. اكتشف باحثو الأمن السيبراني هذه البرامج الضارة في مارس 2024. وسلط الخبراء الضوء على استخدامها لخدمة Yandex Cloud، وهي خدمة سحابية روسية، لاتصالات القيادة والتحكم (C2)، مما يمكنها من تجنب البنية التحتية المخصصة وتجنب الاكتشاف. LianSpy قادر على التقاط تسجيلات الشاشة، وتصفية ملفات المستخدم، وجمع سجلات المكالمات وقوائم التطبيقات.

لا تزال طريقة توزيع برنامج التجسس هذا غير واضحة، لكن الباحثين يشيرون إلى أنه من المحتمل أن يتم نشره إما من خلال ثغرة أمنية غير معروفة أو الوصول المادي المباشر إلى الهاتف المستهدف. يتم إخفاء التطبيقات التي تحتوي على برامج ضارة على أنها خدمة Alipay أو نظام Android.

كيف يعمل برنامج التجسس LianSpy؟

بمجرد تفعيله، يحدد LianSpy ما إذا كان يعمل كتطبيق نظام للعمل في الخلفية مع امتيازات المسؤول. إذا لم يكن الأمر كذلك، فإنه يطلب مجموعة واسعة من الأذونات للوصول إلى جهات الاتصال وسجلات المكالمات والإشعارات ورسم التراكبات على الشاشة.

يتحقق برنامج التجسس أيضًا مما إذا كان يتم تنفيذه في بيئة تصحيح الأخطاء لإعداد تكوين يستمر عبر عمليات إعادة التشغيل. ثم يقوم بعد ذلك بإخفاء الرمز الخاص به من المشغل وتشغيل الأنشطة، مثل التقاط لقطات الشاشة وتصفية البيانات وتحديث التكوين الخاص به لتحديد أنواع المعلومات التي سيتم التقاطها.

في بعض المتغيرات، يتضمن LianSpy خيارات لجمع البيانات من تطبيقات المراسلة الفورية الشائعة في روسيا والتحكم في ما إذا كانت البرامج الضارة تعمل فقط عند الاتصال بشبكة Wi-Fi أو شبكة الهاتف المحمول، من بين إعدادات أخرى.

لتحديث تكوينه، يبحث LianSpy كل 30 ثانية عن ملف موجود على قرص Yandex الخاص بممثل التهديد والذي يطابق التعبير العادي '^frame_.+.png$'. إذا تم العثور عليه، فسيتم تنزيل الملف إلى دليل البيانات الداخلي للتطبيق.

قدرات التخفي لبرنامج التجسس LianSpy

يتم تشفير البيانات المجمعة وتخزينها في جدول قاعدة بيانات SQL، الذي يسجل نوع البيانات وتجزئة SHA-256 الخاصة بها. يمكن فقط لجهة التهديد التي تمتلك مفتاح RSA الخاص المقابل فك تشفير هذه المعلومات المسروقة.

يُظهر LianSpy قدرته على التخفي من خلال التحايل على ميزة مؤشرات الخصوصية المقدمة في Android 12، والتي تتطلب من التطبيقات التي تطلب أذونات الميكروفون والكاميرا لعرض رمز شريط الحالة.

تمكن مطورو LianSpy من تجاوز هذه الحماية عن طريق إلحاق قيمة الإرسال بمعلمة الإعداد الآمن لنظام Android "icon_blacklist"، والتي تمنع ظهور أيقونات الإشعارات في شريط الحالة. بالإضافة إلى ذلك، يقوم LianSpy بإخفاء الإشعارات من خدمات الخلفية التي يستدعيها باستخدام "NotificationListenerService" لمعالجة وقمع إشعارات شريط الحالة.

تستفيد الجهات الفاعلة في مجال التهديد بشكل متزايد من الخدمات المشروعة

تتضمن إحدى الميزات المتطورة في LianSpy استخدام الملف الثنائي "su"، الذي تمت إعادة تسميته إلى "mu"، للوصول إلى الجذر. يشير هذا إلى أنه من المحتمل أن يتم تسليم البرامج الضارة إما من خلال استغلال غير معروف أو الوصول الفعلي إلى الجهاز.

يركز LianSpy أيضًا على التخفي من خلال تنفيذ اتصالات القيادة والتحكم (C2) أحادية الاتجاه، مما يعني أن البرامج الضارة لا تتلقى الأوامر الواردة. يستخدم Yandex Disk لنقل البيانات المجمعة وتخزين أوامر التكوين.

يتم تحديث بيانات اعتماد Yandex Disk عبر عنوان URL مشفر لـ Pastebin، والذي يختلف بين متغيرات البرامج الضارة. يضيف استخدام الخدمات المشروعة طبقة إضافية من التشويش، مما يزيد من تعقيد عملية الإسناد.

باعتباره أحدث إدخال في مجموعة متزايدة من أدوات برامج التجسس، يستهدف LianSpy الأجهزة المحمولة — سواء Android أو iOS — من خلال استغلال ثغرات يوم الصفر. بالإضافة إلى أساليب التجسس القياسية مثل جمع سجلات المكالمات وقوائم التطبيقات، فإنه يستخدم امتيازات الجذر لتسجيل الشاشة السرية والتهرب. يشير استخدام الملف الثنائي "su" المعاد تسميته إلى أنه قد يتضمن عدوى ثانوية بعد التسوية الأولية.