Programari espia mòbil LianSpy
Des del 2021, com a mínim, els usuaris de Rússia han estat objectiu d'un programari espia posterior al compromís d'Android que abans no era documentat conegut com LianSpy. Els investigadors de ciberseguretat van descobrir aquest programari maliciós el març de 2024. Els experts van destacar el seu ús del núvol Yandex, un servei de núvol rus, per a comunicacions de comandament i control (C2), cosa que li permet evitar una infraestructura dedicada i eludir la detecció. LianSpy és capaç de capturar captures de pantalla, exfiltrar fitxers d'usuari i recopilar registres de trucades i llistes d'aplicacions.
El mètode de distribució d'aquest programari espia no està clar, però els investigadors suggereixen que és probable que es desplega a través d'un error de seguretat desconegut o d'un accés físic directe al telèfon objectiu. Les aplicacions amb programari maliciós es disfressen d'Alipay o d'un servei del sistema Android.
Taula de continguts
Com funciona el programari espia LianSpy?
Un cop activat, LianSpy determina si s'està executant com a aplicació del sistema per funcionar en segon pla amb privilegis d'administrador. Si no, sol·licita una àmplia gamma de permisos per accedir a contactes, registres de trucades, notificacions i dibuixar superposicions a la pantalla.
El programari espia també comprova si s'està executant en un entorn de depuració per configurar una configuració que persisteixi durant els reinicis. Aleshores amaga la seva icona del llançador i activa activitats, com ara fer captures de pantalla, extreure dades i actualitzar la seva configuració per especificar els tipus d'informació a capturar.
En algunes variants, LianSpy inclou opcions per recopilar dades d'aplicacions de missatgeria instantània populars a Rússia i per controlar si el programari maliciós només s'executa quan està connectat a Wi-Fi o a una xarxa mòbil, entre altres configuracions.
Per actualitzar la seva configuració, LianSpy cerca cada 30 segons un fitxer al disc Yandex d'un actor d'amenaça que coincideixi amb l'expressió regular "^frame_.+.png$". Si es troba, el fitxer es baixa al directori de dades intern de l'aplicació.
Les capacitats furtives del programari espia LianSpy
Les dades recollides es xifren i s'emmagatzemen en una taula de base de dades SQL, que registra el tipus de dades i el seu hash SHA-256. Només un actor d'amenaça amb la clau RSA privada corresponent pot desxifrar aquesta informació robada.
LianSpy demostra el seu sigil eludint la funció d'indicadors de privadesa introduïda a Android 12, que requereix que les aplicacions que sol·licitin permisos de micròfon i càmera per mostrar una icona de barra d'estat.
Els desenvolupadors de LianSpy han aconseguit evitar aquesta protecció afegint un valor d'emissió al paràmetre de configuració segura d'Android "icon_blacklist", que evita que les icones de notificació apareguin a la barra d'estat. A més, LianSpy amaga les notificacions dels serveis en segon pla que invoca utilitzant el "NotificationListenerService" per processar i suprimir les notificacions de la barra d'estat.
Els actors d'amenaça aprofiten cada cop més els serveis legítims
Una característica sofisticada de LianSpy consisteix a utilitzar el binari 'su', rebatejat com a 'mu', per obtenir accés root. Això indica que el programari maliciós probablement es lliura mitjançant un exploit desconegut o un accés físic al dispositiu.
LianSpy també posa èmfasi en la sigil·lació mitjançant la implementació de comunicacions unidireccionals de comandament i control (C2), el que significa que el programari maliciós no rep ordres entrants. Utilitza Yandex Disk tant per transmetre dades recollides com per emmagatzemar ordres de configuració.
Les credencials de Yandex Disk s'actualitzen mitjançant un URL Pastebin codificat en dur, que varia segons les variants de programari maliciós. L'ús de serveis legítims afegeix una capa addicional d'ofuscament, cosa que complica l'atribució.
Com a darrera entrada d'una varietat creixent d'eines de programari espia, LianSpy s'orienta als dispositius mòbils, tant Android com iOS, aprofitant les vulnerabilitats de dia zero. A més de les tàctiques d'espionatge estàndard com la recollida de registres de trucades i llistes d'aplicacions, utilitza privilegis d'arrel per a l'enregistrament i l'evasió encobertes de la pantalla. L'ús d'un binari reanomenat "su" suggereix que pot implicar una infecció secundària després d'un compromís inicial.
