LianSpy মোবাইল স্পাইওয়্যার
কমপক্ষে 2021 সাল থেকে, রাশিয়ার ব্যবহারকারীরা পূর্বে একটি অনথিভুক্ত অ্যান্ড্রয়েড পোস্ট-কম্প্রোমাইজ স্পাইওয়্যার দ্বারা লক্ষ্যবস্তু করা হয়েছে যা LianSpy নামে পরিচিত। সাইবারসিকিউরিটি গবেষকরা মার্চ 2024-এ এই ম্যালওয়্যারটি উন্মোচন করেছিলেন। বিশেষজ্ঞরা কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য রাশিয়ান ক্লাউড পরিষেবা ইয়ানডেক্স ক্লাউডের ব্যবহার হাইলাইট করেছেন, এটি একটি ডেডিকেটেড অবকাঠামো এড়াতে এবং সনাক্তকরণ এড়াতে সক্ষম করে। LianSpy স্ক্রিনকাস্ট ক্যাপচার করতে, ব্যবহারকারীর ফাইলগুলিকে উত্তোলন করতে এবং কল লগ এবং অ্যাপের তালিকা সংগ্রহ করতে সক্ষম।
এই স্পাইওয়্যারের বিতরণ পদ্ধতিটি অস্পষ্ট রয়ে গেছে, তবে গবেষকরা পরামর্শ দিয়েছেন যে এটি সম্ভবত একটি অজানা নিরাপত্তা ত্রুটি বা লক্ষ্য ফোনে সরাসরি শারীরিক অ্যাক্সেসের মাধ্যমে স্থাপন করা হয়েছে। ম্যালওয়্যার-সজ্জিত অ্যাপ্লিকেশনগুলি আলিপে বা একটি অ্যান্ড্রয়েড সিস্টেম পরিষেবা হিসাবে ছদ্মবেশী।
সুচিপত্র
কিভাবে LianSpy স্পাইওয়্যার কাজ করে?
একবার সক্রিয় হয়ে গেলে, LianSpy নির্ধারণ করে যে এটি প্রশাসকের বিশেষাধিকার সহ ব্যাকগ্রাউন্ডে কাজ করার জন্য একটি সিস্টেম অ্যাপ হিসাবে চলছে কিনা। যদি তা না হয়, তবে এটি পরিচিতি, কল লগ, বিজ্ঞপ্তিগুলি অ্যাক্সেস করতে এবং স্ক্রিনে ওভারলে আঁকার জন্য বিস্তৃত অনুমতির অনুরোধ করে৷
স্পাইওয়্যার এটি পরীক্ষা করে যে এটি একটি ডিবাগিং পরিবেশে কার্যকর হচ্ছে কিনা এমন একটি কনফিগারেশন সেট আপ করতে যা রিবুট জুড়ে টিকে থাকে। তারপরে এটি লঞ্চার থেকে তার আইকনটি লুকিয়ে রাখে এবং ক্রিয়াকলাপগুলিকে ট্রিগার করে, যেমন স্ক্রিনশট নেওয়া, ডেটা উত্তোলন করা এবং ক্যাপচার করার জন্য তথ্যের প্রকারগুলি নির্দিষ্ট করতে এর কনফিগারেশন আপডেট করা।
কিছু ভেরিয়েন্টে, LianSpy রাশিয়ার জনপ্রিয় তাত্ক্ষণিক বার্তাপ্রেরণ অ্যাপ্লিকেশনগুলি থেকে ডেটা সংগ্রহ করার বিকল্পগুলি অন্তর্ভুক্ত করে এবং অন্যান্য সেটিংসের মধ্যে শুধুমাত্র Wi-Fi বা মোবাইল নেটওয়ার্কের সাথে সংযুক্ত থাকলেই ম্যালওয়্যার চলে কিনা তা নিয়ন্ত্রণ করতে।
এর কনফিগারেশন আপডেট করার জন্য, LianSpy প্রতি 30 সেকেন্ডে একটি হুমকি অভিনেতার Yandex ডিস্কে একটি ফাইল অনুসন্ধান করে যা রেগুলার এক্সপ্রেশন '^frame_.+.png$'-এর সাথে মেলে। যদি পাওয়া যায়, ফাইলটি অ্যাপ্লিকেশনের অভ্যন্তরীণ ডেটা ডিরেক্টরিতে ডাউনলোড করা হয়।
LianSpy স্পাইওয়্যারের স্টিলথ ক্ষমতা
সংগ্রহ করা ডেটা এনক্রিপ্ট করা হয় এবং একটি SQL ডাটাবেস টেবিলে সংরক্ষণ করা হয়, যা ডেটার ধরন এবং এর SHA-256 হ্যাশ রেকর্ড করে। শুধুমাত্র সংশ্লিষ্ট প্রাইভেট RSA কী সহ একজন হুমকি অভিনেতা এই চুরি করা তথ্য ডিক্রিপ্ট করতে পারে।
লিয়ানস্পাই অ্যান্ড্রয়েড 12-এ প্রবর্তিত গোপনীয়তা সূচক বৈশিষ্ট্যগুলিকে ফাঁকি দিয়ে তার গোপনীয়তা প্রদর্শন করে, যার জন্য একটি স্ট্যাটাস বার আইকন প্রদর্শন করার জন্য মাইক্রোফোন এবং ক্যামেরা অনুমতির অনুরোধকারী অ্যাপ্লিকেশনগুলির প্রয়োজন হয়।
LianSpy-এর বিকাশকারীরা অ্যান্ড্রয়েড সুরক্ষিত সেটিং প্যারামিটার 'icon_blacklist'-এ একটি কাস্ট মান যুক্ত করে এই সুরক্ষাকে বাইপাস করতে সক্ষম হয়েছে, যা স্ট্যাটাস বারে বিজ্ঞপ্তি আইকনগুলিকে উপস্থিত হতে বাধা দেয়৷ অতিরিক্তভাবে, LianSpy পটভূমি পরিষেবাগুলি থেকে বিজ্ঞপ্তিগুলি লুকিয়ে রাখে যা এটি 'NotificationListenerService' ব্যবহার করে স্ট্যাটাস বার বিজ্ঞপ্তিগুলি প্রক্রিয়া এবং দমন করে।
হুমকি অভিনেতারা ক্রমবর্ধমানভাবে বৈধ পরিষেবাগুলির সুবিধা গ্রহণ করে৷
LianSpy-এর একটি অত্যাধুনিক বৈশিষ্ট্য রুট অ্যাক্সেস পেতে 'su' বাইনারি ব্যবহার করে, যার নাম পরিবর্তন করে 'mu' করা হয়েছে। এটি ইঙ্গিত দেয় যে ম্যালওয়্যারটি সম্ভবত একটি অজানা শোষণ বা ডিভাইসে শারীরিক অ্যাক্সেসের মাধ্যমে বিতরণ করা হয়েছে৷
LianSpy ইউনিডাইরেকশনাল কমান্ড-এন্ড-কন্ট্রোল (C2) কমিউনিকেশন প্রয়োগ করে স্টিলথকেও জোর দেয়, যার অর্থ ম্যালওয়্যার ইনকামিং কমান্ড গ্রহণ করে না। এটি সংগ্রহ করা ডেটা প্রেরণ এবং কনফিগারেশন কমান্ড সংরক্ষণ উভয়ের জন্য ইয়ানডেক্স ডিস্ক ব্যবহার করে।
ইয়ানডেক্স ডিস্কের জন্য শংসাপত্রগুলি হার্ড-কোডেড পেস্টবিন URL-এর মাধ্যমে আপডেট করা হয়, যা ম্যালওয়্যার ভেরিয়েন্টের মধ্যে পরিবর্তিত হয়। বৈধ পরিষেবাগুলি ব্যবহার করা অস্পষ্টতার একটি অতিরিক্ত স্তর যুক্ত করে, অ্যাট্রিবিউশনকে জটিল করে তোলে।
স্পাইওয়্যার সরঞ্জামগুলির একটি ক্রমবর্ধমান অ্যারেতে সর্বশেষ এন্ট্রি হিসাবে, LianSpy শূন্য-দিনের দুর্বলতাগুলিকে কাজে লাগিয়ে মোবাইল ডিভাইসগুলি—অ্যান্ড্রয়েড এবং iOS উভয়কেই লক্ষ্য করে৷ কল লগ এবং অ্যাপ্লিকেশন তালিকা সংগ্রহের মতো স্ট্যান্ডার্ড গুপ্তচরবৃত্তির কৌশল ছাড়াও, এটি গোপন স্ক্রিন রেকর্ডিং এবং ফাঁকি দেওয়ার জন্য রুট বিশেষাধিকার নিয়োগ করে। একটি পুনঃনামকৃত 'su' বাইনারি ব্যবহার প্রস্তাব করে যে এটি একটি প্রাথমিক সমঝোতার পরে একটি গৌণ সংক্রমণ জড়িত হতে পারে।
