LianSpy Mobile Spyware
Τουλάχιστον από το 2021, οι χρήστες στη Ρωσία έχουν γίνει στόχος ενός προηγουμένως μη τεκμηριωμένου λογισμικού spyware μετά τον συμβιβασμό Android, γνωστό ως LianSpy. Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν αυτό το κακόβουλο λογισμικό τον Μάρτιο του 2024. Οι ειδικοί τόνισαν τη χρήση του Yandex Cloud, μιας ρωσικής υπηρεσίας cloud, για επικοινωνίες Command-and-Control (C2), επιτρέποντάς του να αποφύγει μια αποκλειστική υποδομή και να αποφύγει τον εντοπισμό. Το LianSpy είναι σε θέση να καταγράφει εκπομπές οθόνης, να εκμεταλλεύεται αρχεία χρηστών και να συλλέγει αρχεία καταγραφής κλήσεων και λίστες εφαρμογών.
Η μέθοδος διανομής αυτού του spyware παραμένει ασαφής, αλλά οι ερευνητές προτείνουν ότι είναι πιθανό να αναπτυχθεί είτε μέσω ενός άγνωστου ελαττώματος ασφαλείας είτε μέσω άμεσης φυσικής πρόσβασης στο τηλέφωνο-στόχο. Οι εφαρμογές που συνδέονται με κακόβουλο λογισμικό είναι μεταμφιεσμένες ως Alipay ή υπηρεσία συστήματος Android.
Πίνακας περιεχομένων
Πώς λειτουργεί το LianSpy Spyware;
Μόλις ενεργοποιηθεί, το LianSpy καθορίζει εάν εκτελείται ως εφαρμογή συστήματος για να λειτουργεί στο παρασκήνιο με δικαιώματα διαχειριστή. Εάν όχι, ζητά ένα ευρύ φάσμα αδειών για πρόσβαση σε επαφές, αρχεία καταγραφής κλήσεων, ειδοποιήσεις και σχεδίαση επικαλύψεων στην οθόνη.
Το spyware ελέγχει επίσης εάν εκτελείται σε περιβάλλον εντοπισμού σφαλμάτων για να ρυθμίσει μια διαμόρφωση που παραμένει σε όλες τις επανεκκινήσεις. Στη συνέχεια, αποκρύπτει το εικονίδιό του από το πρόγραμμα εκκίνησης και ενεργοποιεί δραστηριότητες, όπως λήψη στιγμιότυπων οθόνης, εξαγωγή δεδομένων και ενημέρωση της διαμόρφωσής του για τον καθορισμό των τύπων πληροφοριών προς λήψη.
Σε ορισμένες παραλλαγές, το LianSpy περιλαμβάνει επιλογές για τη συλλογή δεδομένων από δημοφιλείς εφαρμογές ανταλλαγής άμεσων μηνυμάτων στη Ρωσία και τον έλεγχο του εάν το κακόβουλο λογισμικό εκτελείται μόνο όταν είναι συνδεδεμένο σε Wi-Fi ή σε δίκτυο κινητής τηλεφωνίας, μεταξύ άλλων ρυθμίσεων.
Για να ενημερώσει τη διαμόρφωσή του, το LianSpy πραγματοποιεί αναζήτηση κάθε 30 δευτερόλεπτα για ένα αρχείο στο Yandex Disk ενός παράγοντα απειλής που ταιριάζει με την κανονική έκφραση '^frame_.+.png$.' Εάν βρεθεί, το αρχείο γίνεται λήψη στον εσωτερικό κατάλογο δεδομένων της εφαρμογής.
Οι Stealth δυνατότητες του LianSpy Spyware
Τα δεδομένα που συλλέγονται κρυπτογραφούνται και αποθηκεύονται σε έναν πίνακα βάσης δεδομένων SQL, ο οποίος καταγράφει τον τύπο των δεδομένων και τον κατακερματισμό SHA-256. Μόνο ένας παράγοντας απειλής με το αντίστοιχο ιδιωτικό κλειδί RSA μπορεί να αποκρυπτογραφήσει αυτές τις κλεμμένες πληροφορίες.
Το LianSpy επιδεικνύει τη μυστικότητά του παρακάμπτοντας τη λειτουργία δεικτών απορρήτου που εισήχθη στο Android 12, η οποία απαιτεί από τις εφαρμογές που ζητούν άδειες μικροφώνου και κάμερας να εμφανίζουν ένα εικονίδιο γραμμής κατάστασης.
Οι προγραμματιστές του LianSpy κατάφεραν να παρακάμψουν αυτήν την προστασία προσθέτοντας μια τιμή μετάδοσης στην παράμετρο ασφαλούς ρύθμισης Android 'icon_blacklist', η οποία αποτρέπει την εμφάνιση των εικονιδίων ειδοποιήσεων στη γραμμή κατάστασης. Επιπλέον, το LianSpy αποκρύπτει τις ειδοποιήσεις από τις υπηρεσίες παρασκηνίου που επικαλείται χρησιμοποιώντας το «NotificationListenerService» για την επεξεργασία και την απόκρυψη ειδοποιήσεων της γραμμής κατάστασης.
Οι ηθοποιοί απειλούν ολοένα και περισσότερο τις νόμιμες υπηρεσίες
Ένα εξελιγμένο χαρακτηριστικό του LianSpy περιλαμβάνει τη χρήση του δυαδικού "su", που μετονομάστηκε σε "mu", για να αποκτήσετε πρόσβαση root. Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό είναι πιθανό να παραδοθεί είτε μέσω άγνωστης εκμετάλλευσης είτε μέσω φυσικής πρόσβασης στη συσκευή.
Το LianSpy δίνει έμφαση επίσης στο stealth εφαρμόζοντας μονοκατευθυντικές επικοινωνίες Command-and-Control (C2), που σημαίνει ότι το κακόβουλο λογισμικό δεν λαμβάνει εισερχόμενες εντολές. Χρησιμοποιεί το Yandex Disk τόσο για τη μετάδοση συγκομισμένων δεδομένων όσο και για την αποθήκευση εντολών διαμόρφωσης.
Τα διαπιστευτήρια για το Yandex Disk ενημερώνονται μέσω μιας κωδικοποιημένης διεύθυνσης URL Pastebin, η οποία διαφέρει μεταξύ των παραλλαγών κακόβουλου λογισμικού. Η χρήση νόμιμων υπηρεσιών προσθέτει ένα επιπλέον επίπεδο συσκότισης, περιπλέκοντας την απόδοση.
Ως η πιο πρόσφατη καταχώριση σε μια αυξανόμενη σειρά εργαλείων spyware, το LianSpy στοχεύει κινητές συσκευές —τόσο το Android όσο και το iOS—εκμεταλλευόμενες ευπάθειες zero-day. Εκτός από τις τυπικές τακτικές κατασκοπείας, όπως η συλλογή αρχείων καταγραφής κλήσεων και λιστών εφαρμογών, χρησιμοποιεί δικαιώματα root για κρυφή εγγραφή οθόνης και διαφυγή. Η χρήση ενός μετονομασμένου δυαδικού "su" υποδηλώνει ότι μπορεί να περιλαμβάνει μια δευτερογενή μόλυνση μετά από έναν αρχικό συμβιβασμό.
