Spyware mobile LianSpy
Almeno dal 2021, gli utenti in Russia sono stati presi di mira da uno spyware post-compromissione Android precedentemente non documentato noto come LianSpy. I ricercatori di sicurezza informatica hanno scoperto questo malware nel marzo 2024. Gli esperti hanno evidenziato il suo utilizzo di Yandex Cloud, un servizio cloud russo, per le comunicazioni di comando e controllo (C2), consentendogli di evitare un’infrastruttura dedicata ed eludere il rilevamento. LianSpy è in grado di acquisire screencast, estrarre file utente e raccogliere registri delle chiamate ed elenchi di app.
Il metodo di distribuzione di questo spyware rimane poco chiaro, ma i ricercatori suggeriscono che probabilmente viene distribuito attraverso una falla di sicurezza sconosciuta o l'accesso fisico diretto al telefono preso di mira. Le applicazioni contenenti malware sono mascherate da Alipay o da un servizio di sistema Android.
Sommario
Come funziona lo spyware LianSpy?
Una volta attivato, LianSpy determina se è in esecuzione come app di sistema per operare in background con privilegi di amministratore. In caso contrario, richiede un'ampia gamma di autorizzazioni per accedere a contatti, registri delle chiamate, notifiche e disegnare sovrapposizioni sullo schermo.
Lo spyware controlla anche se è in esecuzione in un ambiente di debug per impostare una configurazione che persista dopo i riavvii. Quindi nasconde la sua icona dal launcher e attiva attività, come acquisire screenshot, estrarre dati e aggiornare la sua configurazione per specificare i tipi di informazioni da acquisire.
In alcune varianti, LianSpy include opzioni per raccogliere dati dalle popolari applicazioni di messaggistica istantanea in Russia e per controllare se il malware viene eseguito solo quando è connesso al Wi-Fi o a una rete mobile, tra le altre impostazioni.
Per aggiornare la sua configurazione, LianSpy cerca ogni 30 secondi un file sul disco Yandex dell'autore della minaccia che corrisponda all'espressione regolare '^frame_.+.png$'. Se trovato, il file viene scaricato nella directory dei dati interna dell'applicazione.
Le capacità invisibili dello spyware LianSpy
I dati raccolti vengono crittografati e archiviati in una tabella del database SQL, che registra il tipo di dati e il relativo hash SHA-256. Solo un autore di minacce con la corrispondente chiave RSA privata può decrittografare queste informazioni rubate.
LianSpy dimostra la sua furtività aggirando la funzionalità degli indicatori di privacy introdotta in Android 12, che richiede alle applicazioni che richiedono autorizzazioni per microfono e fotocamera di visualizzare un'icona sulla barra di stato.
Gli sviluppatori di LianSpy sono riusciti a bypassare questa protezione aggiungendo un valore cast al parametro di impostazione sicura di Android "icon_blacklist", che impedisce la visualizzazione delle icone di notifica nella barra di stato. Inoltre, LianSpy nasconde le notifiche dai servizi in background che richiama utilizzando "NotificationListenerService" per elaborare e sopprimere le notifiche della barra di stato.
Gli autori delle minacce sfruttano sempre più i servizi legittimi
Una caratteristica sofisticata di LianSpy prevede l'utilizzo del binario "su", rinominato "mu", per ottenere l'accesso come root. Ciò indica che il malware viene probabilmente distribuito tramite un exploit sconosciuto o l'accesso fisico al dispositivo.
LianSpy enfatizza inoltre la furtività implementando comunicazioni unidirezionali di comando e controllo (C2), il che significa che il malware non riceve comandi in entrata. Utilizza Yandex Disk sia per trasmettere i dati raccolti che per memorizzare i comandi di configurazione.
Le credenziali per Yandex Disk vengono aggiornate tramite un URL Pastebin hardcoded, che varia a seconda delle varianti di malware. L’utilizzo di servizi legittimi aggiunge un ulteriore livello di offuscamento, complicando l’attribuzione.
Essendo l'ultimo arrivato in una gamma crescente di strumenti spyware, LianSpy prende di mira i dispositivi mobili, sia Android che iOS, sfruttando le vulnerabilità zero-day. Oltre alle tattiche di spionaggio standard come la raccolta dei registri delle chiamate e degli elenchi delle applicazioni, utilizza i privilegi di root per la registrazione e l'evasione dello schermo nascosto. L'uso di un codice binario rinominato "su" suggerisce che potrebbe comportare un'infezione secondaria a seguito di una compromissione iniziale.
