תוכנת ריגול ניידת של LianSpy

מאז 2021 לפחות, משתמשים ברוסיה היו ממוקדים על ידי תוכנת ריגול אנדרואיד לא מתועדת שלאחר פשרה, הידועה בשם LianSpy. חוקרי אבטחת סייבר חשפו את התוכנה הזדונית הזו במרץ 2024. מומחים הדגישו את השימוש שלה ב-Yandex Cloud, שירות ענן רוסי, לתקשורת פיקוד ושליטה (C2), מה שמאפשר לו להימנע מתשתית ייעודית ולהתחמק מזיהוי. LianSpy מסוגלת ללכוד שידורי מסך, לסנן קבצי משתמש ולקטוף יומני שיחות ורשימות אפליקציות.

שיטת ההפצה של תוכנת ריגול זו נותרה לא ברורה, אך חוקרים מציעים שהיא נפרסת ככל הנראה באמצעות פגם אבטחה לא ידוע או גישה פיזית ישירה לטלפון היעד. היישומים המכילים תוכנות זדוניות מוסוות ל-Alipay או לשירות מערכת אנדרואיד.

כיצד פועלת תוכנת הריגול של LianSpy?

לאחר ההפעלה, LianSpy קובע אם הוא פועל כאפליקציית מערכת לפעול ברקע עם הרשאות מנהל. אם לא, הוא מבקש מגוון רחב של הרשאות לגשת לאנשי קשר, ליומני שיחות, להתראות ולשרטט שכבות על המסך.

תוכנת הריגול גם בודקת אם היא פועלת בסביבת ניפוי באגים כדי להגדיר תצורה שנמשכת לאורך אתחולים מחדש. לאחר מכן הוא מסתיר את הסמל שלו מהמשגר ומפעיל פעילויות, כגון צילום מסך, הוצאת נתונים ועדכון התצורה שלו כדי לציין את סוגי המידע ללכידה.

בגרסאות מסוימות, LianSpy כולל אפשרויות לאסוף נתונים מיישומי מסרים מיידיים פופולריים ברוסיה וכדי לשלוט אם התוכנה הזדונית פועלת רק כאשר היא מחוברת ל-Wi-Fi או לרשת סלולרית, בין השאר.

כדי לעדכן את התצורה שלו, LianSpy מחפש כל 30 שניות אחר קובץ בדיסק Yandex של שחקן איום התואם לביטוי הרגולרי '^frame_.+.png$'. אם נמצא, הקובץ יורד לספריית הנתונים הפנימיים של היישום.

יכולות ההתגנבות של תוכנת הריגול LianSpy

הנתונים שנאספו מוצפנים ומאוחסנים בטבלת מסד נתונים של SQL, אשר מתעדת את סוג הנתונים וה-Hash שלו SHA-256. רק שחקן איום עם מפתח RSA הפרטי המתאים יכול לפענח את המידע הגנוב הזה.

LianSpy מדגימה את ההתגנבות שלה על ידי עקיפת תכונת מחווני הפרטיות שהוצגה באנדרואיד 12, המחייבת יישומים המבקשים הרשאות מיקרופון ומצלמה להציג סמל שורת מצב.

המפתחים של LianSpy הצליחו לעקוף את ההגנה הזו על ידי הוספה של ערך cast לפרמטר ההגדרה המאובטחת של אנדרואיד 'icon_blacklist', שמונע מסמלים של התראות להופיע בשורת המצב. בנוסף, LianSpy מסתירה התראות משירותי רקע שהיא מפעילה על ידי שימוש ב-'NotificationListenerService' כדי לעבד ולדכא התראות בשורת המצב.

שחקני איום מנצלים יותר ויותר שירותים לגיטימיים

תכונה מתוחכמת של LianSpy כוללת שימוש בבינארי 'su', ששמו שונה ל-'mu', כדי לקבל גישה לשורש. זה מצביע על כך שהתוכנה הזדונית מועברת ככל הנראה באמצעות ניצול לא ידוע או גישה פיזית למכשיר.

LianSpy גם מדגישה התגנבות על ידי הטמעת תקשורת פקודה ושליטה חד-כיוונית (C2), כלומר התוכנה הזדונית אינה מקבלת פקודות נכנסות. הוא משתמש ב-Yandex Disk הן להעברת נתונים שנאספו והן לאחסון פקודות תצורה.

אישורים עבור Yandex Disk מתעדכנים באמצעות כתובת אתר Pastebin מקודדת קשה, המשתנה בין גרסאות תוכנות זדוניות. שימוש בשירותים לגיטימיים מוסיף שכבה נוספת של ערפול, ומסבך את הייחוס.

בתור הערך האחרון במערך הולך וגדל של כלי תוכנות ריגול, LianSpy מכוון למכשירים ניידים - גם אנדרואיד וגם iOS - על ידי ניצול פגיעויות של יום אפס. בנוסף לטקטיקות ריגול סטנדרטיות כמו איסוף יומני שיחות ורשימות יישומים, הוא משתמש בהרשאות שורש להקלטת מסך סמוי והתחמקות. השימוש בבינארי ששונה בשם 'su' מצביע על כך שהוא עשוי להיות כרוך בזיהום משני בעקבות פשרה ראשונית.