LianSpy Mobile Spyware
Legalább 2021 óta az oroszországi felhasználókat a LianSpy néven ismert, korábban nem dokumentált Android-kompromisszum utáni kémprogram célozza meg. A kiberbiztonsági kutatók 2024 márciusában fedezték fel ezt a kártevőt. A szakértők kiemelték, hogy a Yandex Cloudot, egy orosz felhőszolgáltatást használja a Command-and-Control (C2) kommunikációhoz, amely lehetővé teszi a dedikált infrastruktúra elkerülését és az észlelés elkerülését. A LianSpy képes képernyőképek rögzítésére, felhasználói fájlok kiszűrésére, valamint hívásnaplók és alkalmazáslisták begyűjtésére.
Ennek a kémprogramnak a terjesztési módja továbbra is tisztázatlan, de a kutatók szerint valószínűleg vagy ismeretlen biztonsági hiba, vagy a céltelefonhoz való közvetlen fizikai hozzáférés révén került bevezetésre. A rosszindulatú programokkal ellátott alkalmazások Alipay-nek vagy Android rendszerszolgáltatásnak vannak álcázva.
Tartalomjegyzék
Hogyan működik a LianSpy spyware?
Az aktiválás után a LianSpy meghatározza, hogy rendszeralkalmazásként fut-e, hogy a háttérben rendszergazdai jogosultságokkal működjön. Ha nem, akkor sokféle engedélyt kér a névjegyekhez, hívásnaplókhoz, értesítésekhez való hozzáféréshez, és fedvények rajzolásához a képernyőn.
A kémprogram azt is ellenőrzi, hogy hibakeresési környezetben fut-e, hogy olyan konfigurációt állítson be, amely az újraindítások során is megmarad. Ezután elrejti az ikonját az indító elől, és olyan tevékenységeket indít el, mint például képernyőképek készítése, adatok kiszűrése és konfigurációjának frissítése, hogy meghatározza a rögzítendő információ típusát.
Egyes változatokban a LianSpy többek között olyan lehetőségeket is tartalmaz, amelyekkel adatokat gyűjthet a népszerű azonnali üzenetküldő alkalmazásokból Oroszországban, és szabályozhatja, hogy a kártevő csak Wi-Fi-hez vagy mobilhálózathoz csatlakozva fusson-e.
A konfiguráció frissítéséhez a LianSpy 30 másodpercenként megkeres egy olyan fájlt egy fenyegetett szereplő Yandex Diskjén, amely megfelel a '^frame_.+.png$' reguláris kifejezésnek. Ha megtalálja, a fájl letöltődik az alkalmazás belső adatkönyvtárába.
A LianSpy spyware lopakodó képességei
A gyűjtött adatokat titkosítják és egy SQL adatbázistáblában tárolják, amely rögzíti az adatok típusát és az SHA-256 hash-ét. Csak a megfelelő privát RSA-kulccsal rendelkező fenyegetést végző szereplő tudja visszafejteni ezt az ellopott információt.
A LianSpy azzal demonstrálja lopakodó képességét, hogy megkerüli az Android 12-ben bevezetett adatvédelmi jelző funkciót, amely megköveteli, hogy a mikrofon- és kameraengedélyt kérő alkalmazások megjelenítsenek egy állapotsor ikont.
A LianSpy fejlesztőinek sikerült megkerülniük ezt a védelmet azáltal, hogy egy cast értéket adtak az Android biztonságos beállítási paraméteréhez, az 'icon_blacklist', amely megakadályozza, hogy az értesítési ikonok megjelenjenek az állapotsorban. Ezenkívül a LianSpy elrejti az általa meghívott háttérszolgáltatások értesítéseit a „NotificationListenerService” használatával az állapotsor értesítéseinek feldolgozására és letiltására.
A fenyegető szereplők egyre inkább kihasználják a törvényes szolgáltatásokat
A LianSpy kifinomult funkciója a „su” bináris használata, amelyet „mu”-ra átneveztek a root hozzáférés megszerzéséhez. Ez azt jelzi, hogy a rosszindulatú program valószínűleg ismeretlen kizsákmányoláson vagy az eszközhöz való fizikai hozzáférésen keresztül érkezik.
A LianSpy a lopakodást is hangsúlyozza az egyirányú Command-and-Control (C2) kommunikáció megvalósításával, ami azt jelenti, hogy a rosszindulatú program nem fogadja a bejövő parancsokat. A Yandex Disket használja a gyűjtött adatok továbbítására és a konfigurációs parancsok tárolására.
A Yandex Disk hitelesítő adatait egy kemény kódolt Pastebin URL frissíti, amely a rosszindulatú programok változatai között változik. A törvényes szolgáltatások használata további elhomályosítási réteget ad, ami bonyolítja a hozzárendelést.
A LianSpy a kémprogramok növekvő skálájának legújabb termékeként a mobileszközöket célozza meg – mind az Android, mind az iOS rendszerrel – a nulladik napi sebezhetőségek kihasználásával. A szokásos kémtaktikákon (például hívásnaplók és alkalmazáslisták gyűjtése) túlmenően root jogosultságokat alkalmaz a rejtett képernyőrögzítéshez és a kijátszáshoz. Az átnevezett „su” bináris használata azt sugallja, hogy a kezdeti kompromisszumot követően másodlagos fertőzéssel járhat.
