نرم افزار جاسوسی موبایل LianSpy

حداقل از سال 2021، کاربران در روسیه هدف یک نرم افزار جاسوسی پس از سازش اندروید که قبلاً مستند نشده بود، به نام LianSpy قرار گرفته اند. محققان امنیت سایبری این بدافزار را در مارس 2024 کشف کردند. کارشناسان استفاده این بدافزار را از Yandex Cloud، یک سرویس ابری روسی، برای ارتباطات Command-and-Control (C2) برجسته کردند و آن را قادر می‌سازد از زیرساخت اختصاصی اجتناب کند و از شناسایی فرار کند. LianSpy قادر به گرفتن اسکرین‌کست، استخراج فایل‌های کاربر، و جمع‌آوری گزارش تماس‌ها و لیست‌های برنامه است.

روش توزیع این جاسوس‌افزار نامشخص است، اما محققان پیشنهاد می‌کنند که احتمالاً از طریق یک نقص امنیتی ناشناخته یا دسترسی فیزیکی مستقیم به تلفن هدف مستقر شده است. برنامه های دارای بدافزار به عنوان Alipay یا یک سرویس سیستم اندروید پنهان می شوند.

نرم افزار جاسوسی LianSpy چگونه کار می کند؟

پس از فعال‌سازی، LianSpy تعیین می‌کند که آیا به عنوان یک برنامه سیستمی اجرا می‌شود تا در پس‌زمینه با امتیازات سرپرست کار کند یا خیر. در غیر این صورت، طیف گسترده‌ای از مجوزها را برای دسترسی به مخاطبین، گزارش تماس‌ها، اعلان‌ها و ترسیم پوشش‌های روی صفحه درخواست می‌کند.

این نرم افزار جاسوسی همچنین بررسی می کند که آیا در یک محیط اشکال زدایی اجرا می شود تا پیکربندی را تنظیم کند که در طول راه اندازی مجدد ادامه داشته باشد. سپس نماد خود را از راه‌انداز پنهان می‌کند و فعالیت‌هایی مانند گرفتن اسکرین‌شات، استخراج داده‌ها و به‌روزرسانی پیکربندی آن برای مشخص کردن انواع اطلاعات برای گرفتن را آغاز می‌کند.

در برخی از انواع، LianSpy شامل گزینه‌هایی برای جمع‌آوری داده‌ها از برنامه‌های پیام‌رسانی فوری محبوب در روسیه و کنترل اینکه آیا بدافزار فقط در صورت اتصال به Wi-Fi یا شبکه تلفن همراه، اجرا می‌شود، می‌شود.

برای به‌روزرسانی پیکربندی، LianSpy هر 30 ثانیه یک بار فایلی را در دیسک Yandex یک عامل تهدید جستجو می‌کند که با عبارت معمولی '^frame_.+.png$' مطابقت دارد. در صورت یافتن، فایل در فهرست اطلاعات داخلی برنامه دانلود می شود.

قابلیت های مخفیانه جاسوس افزار LianSpy

داده های جمع آوری شده رمزگذاری شده و در یک جدول پایگاه داده SQL ذخیره می شود که نوع داده و هش SHA-256 آن را ثبت می کند. فقط یک عامل تهدید با کلید خصوصی RSA مربوطه می تواند این اطلاعات دزدیده شده را رمزگشایی کند.

LianSpy مخفی بودن خود را با دور زدن ویژگی نشانگرهای حریم خصوصی معرفی شده در اندروید 12 نشان می دهد که به برنامه هایی نیاز دارد که مجوز میکروفون و دوربین را برای نمایش نماد نوار وضعیت نشان دهند.

توسعه دهندگان LianSpy موفق شده اند با اضافه کردن یک مقدار Cast به پارامتر تنظیمات امن Android 'icon_blacklist' که از نمایش نمادهای اعلان در نوار وضعیت جلوگیری می کند، این محافظت را دور بزنند. علاوه بر این، LianSpy اعلان‌ها را از سرویس‌های پس‌زمینه که فراخوانی می‌کند با استفاده از «NotificationListenerService» برای پردازش و سرکوب اعلان‌های نوار وضعیت پنهان می‌کند.

بازیگران تهدید به طور فزاینده ای از خدمات قانونی استفاده می کنند

یکی از ویژگی های پیچیده LianSpy شامل استفاده از باینری 'su' است که به 'mu' تغییر نام داده است تا دسترسی ریشه داشته باشد. این نشان می دهد که بدافزار احتمالاً از طریق یک سوء استفاده ناشناخته یا دسترسی فیزیکی به دستگاه تحویل داده می شود.

LianSpy همچنین با اجرای ارتباطات یک طرفه Command-and-Control (C2) بر مخفی کاری تاکید می کند، به این معنی که بدافزار دستورات دریافتی را دریافت نمی کند. از Yandex Disk هم برای انتقال داده های برداشت شده و هم برای ذخیره دستورات پیکربندی استفاده می کند.

اعتبارنامه ها برای Yandex Disk از طریق یک URL رمزگذاری شده Pastebin به روز می شوند که بین انواع بدافزار متفاوت است. استفاده از سرویس‌های قانونی لایه‌ای از مبهم‌سازی را اضافه می‌کند و انتساب را پیچیده می‌کند.

LianSpy به عنوان آخرین ورودی در مجموعه رو به رشد ابزارهای جاسوس‌افزار، دستگاه‌های تلفن همراه – اعم از اندروید و iOS – را با بهره‌برداری از آسیب‌پذیری‌های روز صفر هدف قرار می‌دهد. علاوه بر تاکتیک‌های جاسوسی استاندارد مانند جمع‌آوری گزارش تماس‌ها و فهرست‌های برنامه‌ها، از امتیازات ریشه برای ضبط و فرار از صفحه پنهان استفاده می‌کند. استفاده از یک باینری تغییر نام یافته نشان می دهد که ممکن است یک عفونت ثانویه به دنبال یک سازش اولیه باشد.