LianSpy Mobile Spyware
Přinejmenším od roku 2021 jsou uživatelé v Rusku terčem dříve nezdokumentovaného spywaru pro Android po kompromitaci známého jako LianSpy. Výzkumníci v oblasti kybernetické bezpečnosti odhalili tento malware v březnu 2024. Odborníci zdůraznili, že využívá ruskou cloudovou službu Yandex Cloud pro komunikaci Command-and-Control (C2), což jí umožňuje vyhnout se vyhrazené infrastruktuře a vyhnout se detekci. LianSpy je schopen zachytit screencasty, exfiltrovat uživatelské soubory a sklízet protokoly hovorů a seznamy aplikací.
Způsob distribuce tohoto spywaru zůstává nejasný, ale výzkumníci naznačují, že je pravděpodobně nasazen buď prostřednictvím neznámé bezpečnostní chyby, nebo přímým fyzickým přístupem k cílovému telefonu. Aplikace s malwarem jsou maskovány jako Alipay nebo systémová služba Android.
Obsah
Jak funguje spyware LianSpy?
Po aktivaci LianSpy určí, zda běží jako systémová aplikace pro provoz na pozadí s oprávněními správce. Pokud ne, vyžaduje širokou škálu oprávnění pro přístup ke kontaktům, protokolům hovorů, upozorněním a vykreslování překryvných vrstev na obrazovce.
Spyware také kontroluje, zda se spouští v ladicím prostředí, aby nastavil konfiguraci, která přetrvává i po restartu. Poté skryje svou ikonu před spouštěčem a spustí činnosti, jako je pořizování snímků obrazovky, exfiltrace dat a aktualizace své konfigurace, aby specifikovala typy informací, které se mají zachytit.
V některých variantách LianSpy zahrnuje mimo jiné možnosti shromažďování dat z oblíbených aplikací pro rychlé zasílání zpráv v Rusku a kontrolu, zda se malware spouští pouze při připojení k Wi-Fi nebo mobilní síti.
Aby LianSpy aktualizoval svou konfiguraci, vyhledává každých 30 sekund soubor na disku Yandex Disk aktéra hrozby, který odpovídá regulárnímu výrazu '^frame_.+.png$.' Pokud je soubor nalezen, stáhne se do interního datového adresáře aplikace.
Schopnosti utajení spywaru LianSpy
Sklizená data jsou zašifrována a uložena v SQL databázové tabulce, která zaznamenává typ dat a jejich SHA-256 hash. Tyto odcizené informace může dešifrovat pouze aktér hrozby s odpovídajícím soukromým klíčem RSA.
LianSpy demonstruje svou tajnost tím, že obchází funkci indikátorů soukromí představenou v Androidu 12, která vyžaduje, aby aplikace požadující oprávnění k mikrofonu a fotoaparátu zobrazovaly ikonu stavového řádku.
Vývojářům LianSpy se podařilo obejít tuto ochranu tím, že k parametru zabezpečeného nastavení systému Android 'icon_blacklist', který zabraňuje zobrazování ikon oznámení ve stavovém řádku, přidali hodnotu cast. LianSpy navíc skrývá oznámení ze služeb na pozadí, které vyvolává, pomocí „NotificationListenerService“ ke zpracování a potlačení oznámení na stavovém řádku.
Aktéři hrozeb stále více využívají výhod legitimních služeb
Sofistikovaná funkce LianSpy zahrnuje použití binárního souboru 'su' přejmenovaného na 'mu' k získání přístupu root. To znamená, že malware je pravděpodobně doručen prostřednictvím neznámého zneužití nebo fyzického přístupu k zařízení.
LianSpy také zdůrazňuje utajení implementací jednosměrné komunikace Command-and-Control (C2), což znamená, že malware nepřijímá příchozí příkazy. Používá Yandex Disk pro přenos sklizených dat a ukládání konfiguračních příkazů.
Přihlašovací údaje pro disk Yandex se aktualizují prostřednictvím pevně zakódované adresy URL Pastebin, která se liší podle variant malwaru. Využití legitimních služeb přidává další vrstvu zmatku, což komplikuje připisování.
LianSpy se jako nejnovější položka v rostoucí řadě spywarových nástrojů zaměřuje na mobilní zařízení – Android i iOS – tím, že využívá zranitelnosti zero-day. Kromě standardních špionážních taktik, jako je shromažďování protokolů hovorů a seznamů aplikací, využívá práva root pro skryté nahrávání obrazovky a úniky. Použití přejmenované binárky 'su' naznačuje, že může zahrnovat sekundární infekci po počátečním kompromisu.
