LianSpy Mobile Spyware
Najmanje od 2021. korisnici u Rusiji bili su na meti dosad nedokumentiranog postkompromitnog špijunskog softvera za Android poznatog kao LianSpy. Istraživači kibernetičke sigurnosti otkrili su ovaj zlonamjerni softver u ožujku 2024. Stručnjaci su istaknuli njegovu upotrebu Yandex Clouda, ruske usluge u oblaku, za Command-and-Control (C2) komunikacije, omogućujući mu da izbjegne namjensku infrastrukturu i izbjegne otkrivanje. LianSpy je sposoban snimati screencastove, eksfiltrirati korisničke datoteke i sakupljati zapise poziva i popise aplikacija.
Metoda distribucije ovog špijunskog softvera ostaje nejasna, ali istraživači sugeriraju da je vjerojatno postavljen putem nepoznatog sigurnosnog propusta ili izravnog fizičkog pristupa ciljnom telefonu. Aplikacije sa zlonamjernim softverom prerušene su u Alipay ili uslugu Android sustava.
Sadržaj
Kako radi špijunski softver LianSpy?
Nakon što se aktivira, LianSpy utvrđuje radi li kao sistemska aplikacija za rad u pozadini s administratorskim ovlastima. Ako nije, traži širok raspon dopuštenja za pristup kontaktima, zapisima poziva, obavijestima i crtanje preklapanja na zaslonu.
Špijunski softver također provjerava izvršava li se u okruženju za otklanjanje pogrešaka kako bi postavio konfiguraciju koja traje nakon ponovnog pokretanja. Zatim skriva svoju ikonu od pokretača i pokreće aktivnosti, kao što su snimanje zaslona, ekstrakcija podataka i ažuriranje konfiguracije kako bi se odredile vrste informacija za snimanje.
U nekim varijantama, LianSpy uključuje opcije za prikupljanje podataka iz popularnih aplikacija za izravnu razmjenu poruka u Rusiji i za kontrolu pokretanja zlonamjernog softvera samo kada je povezan s Wi-Fi ili mobilnom mrežom, između ostalih postavki.
Kako bi ažurirao svoju konfiguraciju, LianSpy svakih 30 sekundi traži datoteku na Yandex disku aktera prijetnje koja odgovara regularnom izrazu '^frame_.+.png$.' Ako se pronađe, datoteka se preuzima u interni direktorij podataka aplikacije.
Stealth mogućnosti LianSpy Spywarea
Prikupljeni podaci su kriptirani i pohranjeni u SQL tablici baze podataka, koja bilježi vrstu podataka i njihov SHA-256 hash. Samo akter prijetnje s odgovarajućim privatnim RSA ključem može dešifrirati ove ukradene podatke.
LianSpy demonstrira svoju tajnost zaobilazeći značajku indikatora privatnosti uvedenu u Androidu 12, koja zahtijeva od aplikacija koje traže dopuštenja za mikrofon i kameru da prikazuju ikonu statusne trake.
Programeri LianSpy-a uspjeli su zaobići ovu zaštitu dodavanjem cast vrijednosti parametru sigurne postavke Androida 'icon_blacklist', koji sprječava pojavljivanje ikona obavijesti u statusnoj traci. Osim toga, LianSpy skriva obavijesti od pozadinskih servisa koje poziva pomoću 'NotificationListenerService' za obradu i potiskivanje obavijesti statusne trake.
Akteri prijetnji sve više iskorištavaju prednosti legitimnih usluga
Sofisticirana značajka LianSpyja uključuje korištenje binarne datoteke 'su', preimenovane u 'mu', za dobivanje root pristupa. To znači da je zlonamjerni softver vjerojatno isporučen putem nepoznatog iskorištavanja ili fizičkog pristupa uređaju.
LianSpy također naglašava skrivenost implementacijom jednosmjerne Command-and-Control (C2) komunikacije, što znači da zlonamjerni softver ne prima dolazne naredbe. Koristi Yandex Disk za prijenos prikupljenih podataka i pohranjivanje konfiguracijskih naredbi.
Vjerodajnice za Yandex Disk ažuriraju se putem tvrdo kodiranog Pastebin URL-a, koji se razlikuje od varijante zlonamjernog softvera. Korištenje legitimnih usluga dodaje dodatni sloj zamagljivanja, komplicirajući atribuciju.
Kao najnoviji unos u sve većem nizu alata za špijunski softver, LianSpy cilja mobilne uređaje — i Android i iOS — iskorištavanjem ranjivosti nultog dana. Uz standardne taktike špijunaže poput prikupljanja zapisa poziva i popisa aplikacija, koristi root povlastice za tajno snimanje zaslona i izbjegavanje. Korištenje preimenovanog 'su' binarnog zapisa sugerira da može uključivati sekundarnu infekciju nakon početnog kompromisa.
