LianSpy mobil spyware
Siden mindst 2021 er brugere i Rusland blevet målrettet af en tidligere udokumenteret Android post-kompromis spyware kendt som LianSpy. Cybersikkerhedsforskere afslørede denne malware i marts 2024. Eksperter fremhævede dens brug af Yandex Cloud, en russisk cloud-tjeneste, til Command-and-Control (C2)-kommunikation, hvilket gør det muligt for den at undgå en dedikeret infrastruktur og undgå registrering. LianSpy er i stand til at fange screencasts, eksfiltrere brugerfiler og høste opkaldslogger og applister.
Distributionsmetoden for denne spyware er stadig uklar, men forskere foreslår, at den sandsynligvis er implementeret gennem enten en ukendt sikkerhedsfejl eller direkte fysisk adgang til måltelefonen. De malware-baserede applikationer er forklædt som Alipay eller en Android-systemtjeneste.
Indholdsfortegnelse
Hvordan fungerer LianSpy-spywaren?
Når den er aktiveret, afgør LianSpy, om den kører som en systemapp til at fungere i baggrunden med administratorrettigheder. Hvis ikke, anmoder den om en lang række tilladelser til at få adgang til kontakter, opkaldslogger, meddelelser og tegne overlejringer på skærmen.
Spywaren kontrollerer også, om den udføres i et debugging-miljø, for at konfigurere en konfiguration, der fortsætter ved genstart. Det skjuler derefter sit ikon fra launcheren og udløser aktiviteter, såsom at tage skærmbilleder, eksfiltrere data og opdatere sin konfiguration for at specificere de typer information, der skal fanges.
I nogle varianter inkluderer LianSpy muligheder for at indsamle data fra populære instant messaging-applikationer i Rusland og for at kontrollere, om malwaren kun kører, når den er forbundet til Wi-Fi eller et mobilnetværk, blandt andre indstillinger.
For at opdatere dens konfiguration søger LianSpy hvert 30. sekund efter en fil på en trusselsaktørs Yandex-disk, der matcher det regulære udtryk '^frame_.+.png$.' Hvis den findes, downloades filen til programmets interne datamappe.
Stealth-egenskaberne i LianSpy-spywaren
De indsamlede data krypteres og gemmes i en SQL-databasetabel, som registrerer typen af data og dens SHA-256-hash. Kun en trusselaktør med den tilsvarende private RSA-nøgle kan dekryptere denne stjålne information.
LianSpy demonstrerer sin stealth ved at omgå funktionen privatlivsindikatorer introduceret i Android 12, som kræver, at applikationer, der anmoder om mikrofon- og kameratilladelser, viser et statuslinjeikon.
Udviklerne af LianSpy har formået at omgå denne beskyttelse ved at tilføje en cast-værdi til Androids sikre indstillingsparameter 'icon_blacklist', som forhindrer meddelelsesikoner i at blive vist i statuslinjen. Derudover skjuler LianSpy meddelelser fra baggrundstjenester, den påkalder ved at bruge 'NotificationListenerService' til at behandle og undertrykke statuslinjemeddelelser.
Trusselaktører drager i stigende grad fordel af legitime tjenester
En sofistikeret funktion ved LianSpy involverer at bruge 'su'-binæren, omdøbt til 'mu', for at få root-adgang. Dette indikerer, at malwaren sandsynligvis leveres gennem enten en ukendt udnyttelse eller fysisk adgang til enheden.
LianSpy understreger også stealth ved at implementere ensrettet Command-and-Control (C2) kommunikation, hvilket betyder, at malwaren ikke modtager indgående kommandoer. Den bruger Yandex Disk til både at overføre høstede data og gemme konfigurationskommandoer.
Oplysninger til Yandex Disk opdateres via en hårdkodet Pastebin URL, som varierer mellem malware-varianter. Brug af legitime tjenester tilføjer et ekstra lag af sløring, hvilket komplicerer tilskrivning.
Som den seneste indgang i et voksende udvalg af spywareværktøjer, retter LianSpy sig mod mobile enheder – både Android og iOS – ved at udnytte nul-dages sårbarheder. Ud over standard spionagetaktikker som indsamling af opkaldslogger og applikationslister, anvender den root-privilegier til skjult skærmoptagelse og unddragelse. Brugen af en omdøbt 'su'-binær antyder, at det kan involvere en sekundær infektion efter et indledende kompromis.
