Мобилен шпионски софтуер LianSpy
Най-малко от 2021 г. потребителите в Русия са били насочени към недокументиран преди това шпионски софтуер за Android след компрометиране, известен като LianSpy. Изследователите на киберсигурността разкриха този злонамерен софтуер през март 2024 г. Експертите подчертаха използването му на облака Yandex, руска облачна услуга, за командно-контролни (C2) комуникации, което му позволява да избягва специална инфраструктура и да избягва откриването. LianSpy е в състояние да заснема скрийнкастове, да ексфилтрира потребителски файлове и да събира журнали за обаждания и списъци с приложения.
Методът на разпространение на този шпионски софтуер остава неясен, но изследователите предполагат, че той вероятно е внедрен или чрез неизвестен пропуск в сигурността, или чрез директен физически достъп до целевия телефон. Приложенията със зловреден софтуер са маскирани като Alipay или системна услуга на Android.
Съдържание
Как работи шпионският софтуер LianSpy?
Веднъж активиран, LianSpy определя дали работи като системно приложение, за да работи във фонов режим с администраторски привилегии. Ако не, той изисква широк набор от разрешения за достъп до контакти, регистър на обажданията, известия и рисуване на наслагвания върху екрана.
Шпионският софтуер също така проверява дали се изпълнява в среда за отстраняване на грешки, за да настрои конфигурация, която се запазва при рестартиране. След това скрива иконата си от стартовия панел и задейства дейности, като правене на екранни снимки, ексфилтриране на данни и актуализиране на конфигурацията си, за да посочи типовете информация за заснемане.
В някои варианти LianSpy включва опции за събиране на данни от популярни приложения за незабавни съобщения в Русия и за контрол дали зловредният софтуер работи само когато е свързан към Wi-Fi или мобилна мрежа, наред с други настройки.
За да актуализира конфигурацията си, LianSpy търси на всеки 30 секунди файл в Yandex Disk на заплаха, който съответства на регулярния израз „^frame_.+.png$“. Ако бъде намерен, файлът се изтегля във вътрешната директория с данни на приложението.
Стелт възможностите на шпионския софтуер LianSpy
Събраните данни се криптират и съхраняват в таблица на SQL база данни, която записва типа на данните и техния хеш SHA-256. Само участник в заплаха със съответния частен RSA ключ може да дешифрира тази открадната информация.
LianSpy демонстрира своя стелт, като заобикаля функцията за индикатори за поверителност, въведена в Android 12, която изисква приложенията, изискващи разрешения за микрофон и камера, да показват икона в лентата на състоянието.
Разработчиците на LianSpy са успели да заобиколят тази защита, като са добавили стойност на предаване към параметъра за защитена настройка на Android „icon_blacklist“, който предотвратява появата на икони за известяване в лентата на състоянието. Освен това LianSpy скрива известията от фоновите услуги, които извиква, като използва „NotificationListenerService“ за обработка и потискане на известията в лентата на състоянието.
Заплахите все по-често се възползват от легитимните услуги
Усъвършенствана функция на LianSpy включва използването на двоичния файл „su“, преименуван на „mu“, за получаване на root достъп. Това показва, че злонамереният софтуер вероятно се доставя чрез неизвестен експлойт или физически достъп до устройството.
LianSpy също набляга на стелт чрез внедряване на еднопосочна комуникация за командване и контрол (C2), което означава, че злонамереният софтуер не получава входящи команди. Той използва Yandex Disk както за предаване на събрани данни, така и за съхраняване на конфигурационни команди.
Идентификационните данни за Yandex Disk се актуализират чрез твърдо кодиран URL адрес на Pastebin, който варира между вариантите на зловреден софтуер. Използването на легитимни услуги добавя допълнителен слой на объркване, което усложнява приписването.
Като най-новото влизане в нарастващия набор от инструменти за шпионски софтуер, LianSpy е насочен към мобилни устройства - както Android, така и iOS - чрез използване на уязвимости от нулевия ден. В допълнение към стандартните тактики за шпионаж като събиране на дневници на обаждания и списъци с приложения, той използва root права за скрит запис на екрана и избягване. Използването на преименуван двоичен файл „su“ предполага, че може да включва вторична инфекция след първоначален компромис.
