LianSpy mobiilne nuhkvara
Vähemalt alates 2021. aastast on Venemaa kasutajate sihtmärgiks olnud varem dokumentideta Androidi kompromiteerimisjärgne nuhkvara, mida tuntakse nime all LianSpy. Küberjulgeoleku teadlased avastasid selle pahavara 2024. aasta märtsis. Eksperdid tõstsid esile Venemaa pilveteenuse Yandex Cloud kasutamist Command-and-Control (C2) suhtluseks, võimaldades sellel vältida spetsiaalset infrastruktuuri ja hoiduda tuvastamisest. LianSpy on võimeline jäädvustama ekraanipilte, kasutajafaile välja filtreerima ning kõneloge ja rakenduste loendeid koguma.
Selle nuhkvara levitamismeetod jääb ebaselgeks, kuid teadlased viitavad sellele, et see on tõenäoliselt kasutusele võetud kas tundmatu turvavea või sihttelefonile otsese füüsilise juurdepääsu tõttu. Pahavaraga seotud rakendused on maskeeritud kui Alipay või Androidi süsteemiteenus.
Sisukord
Kuidas LianSpy nuhkvara töötab?
Pärast aktiveerimist teeb LianSpy kindlaks, kas see töötab süsteemirakendusena, et töötada taustal administraatoriõigustega. Kui ei, siis taotleb see laia valikut õigusi, et pääseda juurde kontaktidele, kõnelogidele, teatistele ja joonistada ekraanile ülekatteid.
Nuhkvara kontrollib ka, kas see töötab silumiskeskkonnas, et seadistada konfiguratsioon, mis püsib kogu taaskäivitamise ajal. Seejärel peidab see oma ikooni käivitusprogrammi eest ja käivitab tegevused, nagu ekraanipiltide tegemine, andmete väljafiltreerimine ja konfiguratsiooni värskendamine, et määrata jäädvustava teabe tüübid.
Mõnes variandis sisaldab LianSpy muid seadeid võimalusi koguda andmeid Venemaal populaarsetest kiirsuhtlusrakendustest ja kontrollida, kas pahavara töötab ainult siis, kui see on ühendatud Wi-Fi või mobiilsidevõrguga.
Konfiguratsiooni värskendamiseks otsib LianSpy iga 30 sekundi järel ohutegija Yandexi kettalt faili, mis vastab regulaaravaldisele „^frame_.+.png$”. Kui see leitakse, laaditakse fail alla rakenduse sisemisse andmekataloogi.
LianSpy nuhkvara varjamisvõimalused
Kogutud andmed krüpteeritakse ja salvestatakse SQL-i andmebaasi tabelisse, mis salvestab andmete tüübi ja nende SHA-256 räsi. Ainult vastava privaatse RSA-võtmega ohus osaleja saab seda varastatud teavet dekrüpteerida.
LianSpy demonstreerib oma vargsi, hoides kõrvale Android 12-s kasutusele võetud privaatsusnäitajate funktsioonist, mis nõuab mikrofoni- ja kaameraõigusi taotlevate rakenduste kuvamiseks olekuriba ikooni.
LianSpy arendajatel on õnnestunud sellest kaitsest mööda minna, lisades Androidi turvalise sätte parameetrile „icon_blacklist” ülekandeväärtuse, mis takistab teavitusikoonide ilmumist olekuribal. Lisaks peidab LianSpy märguanded taustateenuste eest, mida ta kutsub, kasutades olekuriba märguannete töötlemiseks ja mahasurumiseks teenust NotificationListenerService.
Ohutegijad kasutavad seaduslikke teenuseid üha enam ära
LianSpy keerukas funktsioon hõlmab juurjuurdepääsu saamiseks kahendkoodi 'su' kasutamist, mis on ümber nimetatud 'mu'ks. See näitab, et pahavara edastatakse tõenäoliselt tundmatu ärakasutamise või seadmele füüsilise juurdepääsu kaudu.
LianSpy rõhutab ka vargsi, rakendades ühesuunalist Command-and-Control (C2) sidet, mis tähendab, et pahavara ei saa sissetulevaid käske. See kasutab Yandexi ketast nii kogutud andmete edastamiseks kui ka konfiguratsioonikäskude salvestamiseks.
Yandex Diski mandaate värskendatakse kõvakoodiga Pastebini URL-i kaudu, mis erineb pahavara variantide lõikes. Õiguspäraste teenuste kasutamine lisab täiendava segamise kihi, mis muudab omistamise keerulisemaks.
LianSpy on uusim kirje kasvavas nuhkvaratööriistade hulgas, mis on suunatud mobiilseadmetele – nii Androidile kui ka iOS-ile –, kasutades ära nullpäeva turvaauke. Lisaks tavalistele spionaažitaktikatele, nagu kõnelogide ja rakenduste loendite kogumine, kasutab see varjatud ekraani salvestamiseks ja kõrvalehoidmiseks juurõigusi. Ümbernimetatud "su" binaari kasutamine viitab sellele, et see võib hõlmata sekundaarset nakatumist pärast esialgset kompromissi.
