LianSpy Mobile Spyware
Ainakin vuodesta 2021 lähtien käyttäjät Venäjällä ovat olleet aiemmin dokumentoimattoman Android-vakoiluohjelman, joka tunnetaan nimellä LianSpy, kohteena. Kyberturvallisuustutkijat paljastivat tämän haittaohjelman maaliskuussa 2024. Asiantuntijat korostivat sen venäläisen Yandex Cloud -pilvipalvelun käyttöä Command-and-Control (C2) -viestintään, mikä mahdollistaa sen, että se voi välttää erillisen infrastruktuurin ja välttää havaitsemisen. LianSpy pystyy kaappaamaan näyttölähetyksiä, poistamaan käyttäjätiedostoja ja keräämään puhelulokeja ja sovellusluetteloita.
Tämän vakoiluohjelman jakelumenetelmä on edelleen epäselvä, mutta tutkijat ehdottavat, että se on todennäköisesti otettu käyttöön joko tuntemattoman tietoturvavirheen tai suoran fyysisen pääsyn kautta kohdepuhelimeen. Haittaohjelmia sisältävät sovellukset on naamioitu Alipayksi tai Android-järjestelmäpalveluksi.
Sisällysluettelo
Kuinka LianSpy-vakoiluohjelma toimii?
Kun LianSpy on aktivoitu, se määrittää, toimiiko se järjestelmäsovelluksena, joka toimii taustalla järjestelmänvalvojan oikeuksin. Jos ei, se pyytää monenlaisia käyttöoikeuksia yhteystietojen, puhelulokien, ilmoitusten ja peittokuvien piirtämiseen näytölle.
Vakoiluohjelma tarkistaa myös, suorittaako se virheenkorjausympäristössä määrittääkseen kokoonpanon, joka jatkuu uudelleenkäynnistyksen jälkeen. Sen jälkeen se piilottaa kuvakkeensa käynnistysohjelmasta ja käynnistää toimintoja, kuten kuvakaappausten ottamista, tietojen suodattamista ja kokoonpanon päivittämistä kaapattavan tiedon tyypin määrittämiseksi.
Joissakin versioissa LianSpy sisältää muun muassa vaihtoehtoja kerätä tietoja suosituista pikaviestintäsovelluksista Venäjällä ja hallita, toimiiko haittaohjelma vain ollessaan yhteydessä Wi-Fi- tai mobiiliverkkoon.
Päivittääkseen kokoonpanonsa LianSpy etsii 30 sekunnin välein uhkatekijän Yandex-levyltä tiedoston, joka vastaa säännöllistä lauseketta ^frame_.+.png$. Jos tiedosto löytyy, se ladataan sovelluksen sisäiseen tietohakemistoon.
LianSpy-vakoiluohjelman varkain ominaisuudet
Kerätyt tiedot salataan ja tallennetaan SQL-tietokantataulukkoon, joka tallentaa tiedon tyypin ja sen SHA-256-hajautusarvon. Vain uhkatekijä, jolla on vastaava yksityinen RSA-avain, voi purkaa tämän varastetun tiedon salauksen.
LianSpy esittelee varkautta kiertämällä Android 12:ssa käyttöön otettua tietosuojailmaisinominaisuutta, joka vaatii mikrofonin ja kameran käyttöoikeuksia pyytävien sovellusten näyttämään tilapalkin kuvakkeen.
LianSpyn kehittäjät ovat onnistuneet ohittamaan tämän suojauksen lisäämällä cast-arvon Androidin suojatun asetuksen parametriin 'icon_blacklist', mikä estää ilmoituskuvakkeiden näkymisen tilarivillä. Lisäksi LianSpy piilottaa ilmoitukset taustapalveluista, joita se kutsuu käyttämällä NotificationListenerService-palvelua tilapalkin ilmoitusten käsittelyyn ja estämiseen.
Uhkatoimijat hyötyvät yhä enemmän laillisista palveluista
LianSpyn kehittynyt ominaisuus sisältää binaarin "su", joka on nimetty uudelleen muotoon "mu", pääkäyttäjän oikeuksien saamiseksi. Tämä osoittaa, että haittaohjelma toimitetaan todennäköisesti joko tuntemattoman hyväksikäytön tai laitteen fyysisen käytön kautta.
LianSpy korostaa myös varkautta toteuttamalla yksisuuntaista Command-and-Control (C2) -viestintää, mikä tarkoittaa, että haittaohjelma ei vastaanota saapuvia komentoja. Se käyttää Yandex Diskiä sekä kerätyn tiedon lähettämiseen että määrityskomentojen tallentamiseen.
Yandex Diskin tunnistetiedot päivitetään kovakoodatun Pastebin-URL-osoitteen kautta, joka vaihtelee haittaohjelmaversioiden mukaan. Laillisten palvelujen käyttäminen lisää ylimääräistä hämärtymistä, mikä vaikeuttaa vaikuttavuutta.
LianSpy on uusin tuote kasvavassa valikoimassa vakoiluohjelmatyökaluja, ja se kohdistuu mobiililaitteisiin – sekä Androidiin että iOS:ään – hyödyntämällä nollapäivän haavoittuvuuksia. Tavallisten vakoilutaktiikkojen, kuten puhelulokien ja sovellusluetteloiden keräämisen, lisäksi se käyttää pääkäyttäjän oikeuksia salaisen näytön tallentamiseen ja kiertämiseen. Uudelleen nimetyn "su"-binaarin käyttö viittaa siihen, että siihen voi liittyä sekundäärinen infektio alkuperäisen kompromissin seurauksena.
