LianSpy मोबाइल स्पाइवेयर

कम से कम 2021 से, रूस में उपयोगकर्ताओं को पहले से अज्ञात Android पोस्ट-समझौता स्पाइवेयर LianSpy द्वारा लक्षित किया जा रहा है। साइबर सुरक्षा शोधकर्ताओं ने मार्च 2024 में इस मैलवेयर का पता लगाया। विशेषज्ञों ने कमांड-एंड-कंट्रोल (C2) संचार के लिए रूसी क्लाउड सेवा, Yandex Cloud के उपयोग पर प्रकाश डाला, जिससे यह एक समर्पित बुनियादी ढांचे से बचने और पता लगाने से बचने में सक्षम हो गया। LianSpy स्क्रीनकास्ट कैप्चर करने, उपयोगकर्ता फ़ाइलों को एक्सफ़िल्टर करने और कॉल लॉग और ऐप सूचियों को हार्वेस्ट करने में सक्षम है।

इस स्पाइवेयर के वितरण का तरीका अभी भी स्पष्ट नहीं है, लेकिन शोधकर्ताओं का सुझाव है कि इसे किसी अज्ञात सुरक्षा दोष या लक्षित फ़ोन तक सीधे भौतिक पहुँच के ज़रिए तैनात किया गया है। मैलवेयर से युक्त एप्लिकेशन अलीपे या एंड्रॉइड सिस्टम सेवा के रूप में प्रच्छन्न हैं।

LianSpy स्पाइवेयर कैसे काम करता है?

एक बार सक्रिय होने के बाद, LianSpy यह निर्धारित करता है कि क्या यह व्यवस्थापक विशेषाधिकारों के साथ पृष्ठभूमि में काम करने के लिए सिस्टम ऐप के रूप में चल रहा है। यदि नहीं, तो यह संपर्कों, कॉल लॉग, सूचनाओं तक पहुँचने और स्क्रीन पर ओवरले बनाने के लिए कई तरह की अनुमतियों का अनुरोध करता है।

स्पाइवेयर यह भी जाँचता है कि क्या यह डिबगिंग वातावरण में चल रहा है ताकि रीबूट के दौरान बनी रहने वाली कॉन्फ़िगरेशन सेट की जा सके। फिर यह लॉन्चर से अपना आइकन छिपाता है और स्क्रीनशॉट लेने, डेटा को बाहर निकालने और कैप्चर की जाने वाली जानकारी के प्रकारों को निर्दिष्ट करने के लिए इसके कॉन्फ़िगरेशन को अपडेट करने जैसी गतिविधियाँ शुरू करता है।

कुछ संस्करणों में, लियानस्पाई में रूस में लोकप्रिय त्वरित संदेश अनुप्रयोगों से डेटा एकत्र करने और अन्य सेटिंग्स के अलावा यह नियंत्रित करने के विकल्प शामिल हैं कि मैलवेयर केवल वाई-फाई या मोबाइल नेटवर्क से कनेक्ट होने पर ही चलता है या नहीं।

अपने कॉन्फ़िगरेशन को अपडेट करने के लिए, LianSpy हर 30 सेकंड में किसी खतरे वाले अभिनेता की Yandex डिस्क पर एक फ़ाइल की खोज करता है जो नियमित अभिव्यक्ति '^frame_.+.png$' से मेल खाती है। यदि मिल जाती है, तो फ़ाइल को एप्लिकेशन की आंतरिक डेटा निर्देशिका में डाउनलोड किया जाता है।

LianSpy स्पाइवेयर की गुप्त क्षमताएं

एकत्रित डेटा को एन्क्रिप्ट करके SQL डेटाबेस टेबल में संग्रहीत किया जाता है, जिसमें डेटा का प्रकार और उसका SHA-256 हैश रिकॉर्ड किया जाता है। केवल संबंधित निजी RSA कुंजी वाला कोई ख़तरा अभिनेता ही इस चोरी की गई जानकारी को डिक्रिप्ट कर सकता है।

लियानस्पाई ने एंड्रॉइड 12 में पेश किए गए गोपनीयता संकेतक सुविधा को दरकिनार करके अपनी गुप्तता का प्रदर्शन किया है, जिसके लिए स्टेटस बार आइकन प्रदर्शित करने के लिए माइक्रोफ़ोन और कैमरा अनुमतियों का अनुरोध करने वाले अनुप्रयोगों की आवश्यकता होती है।

LianSpy के डेवलपर्स ने Android सुरक्षित सेटिंग पैरामीटर 'icon_blacklist' में एक कास्ट वैल्यू जोड़कर इस सुरक्षा को बायपास करने में कामयाबी हासिल की है, जो स्टेटस बार में नोटिफिकेशन आइकन को दिखने से रोकता है। इसके अतिरिक्त, LianSpy स्टेटस बार नोटिफिकेशन को प्रोसेस करने और दबाने के लिए 'NotificationListenerService' का उपयोग करके बैकग्राउंड सेवाओं से नोटिफिकेशन को छिपाता है।

ख़तरा पैदा करने वाले तत्व वैध सेवाओं का लाभ उठाने लगे हैं

LianSpy की एक परिष्कृत विशेषता में रूट एक्सेस प्राप्त करने के लिए 'su' बाइनरी का उपयोग करना शामिल है, जिसका नाम बदलकर 'mu' कर दिया गया है। यह इंगित करता है कि मैलवेयर संभवतः किसी अज्ञात शोषण या डिवाइस तक भौतिक पहुँच के माध्यम से वितरित किया गया है।

LianSpy यूनिडायरेक्शनल कमांड-एंड-कंट्रोल (C2) संचार को लागू करके चुपके पर भी जोर देता है, जिसका अर्थ है कि मैलवेयर आने वाले आदेशों को प्राप्त नहीं करता है। यह हार्वेस्टेड डेटा को संचारित करने और कॉन्फ़िगरेशन कमांड को संग्रहीत करने के लिए यांडेक्स डिस्क का उपयोग करता है।

यांडेक्स डिस्क के लिए क्रेडेंशियल्स को हार्ड-कोडेड पेस्टबिन यूआरएल के माध्यम से अपडेट किया जाता है, जो मैलवेयर वेरिएंट के बीच अलग-अलग होता है। वैध सेवाओं का उपयोग करने से अस्पष्टता की एक अतिरिक्त परत जुड़ जाती है, जिससे एट्रिब्यूशन जटिल हो जाता है।

स्पाइवेयर टूल की बढ़ती श्रृंखला में नवीनतम प्रविष्टि के रूप में, LianSpy जीरो-डे कमजोरियों का फायदा उठाकर मोबाइल डिवाइस - एंड्रॉइड और iOS दोनों को लक्षित करता है। कॉल लॉग और एप्लिकेशन सूचियों को इकट्ठा करने जैसी मानक जासूसी रणनीति के अलावा, यह गुप्त स्क्रीन रिकॉर्डिंग और चोरी के लिए रूट विशेषाधिकारों का उपयोग करता है। नाम बदलकर 'su' बाइनरी का उपयोग यह सुझाव देता है कि इसमें प्रारंभिक समझौता के बाद एक द्वितीयक संक्रमण शामिल हो सकता है।