Multi-License Discount Quote
위협 데이터베이스 Mobile Malware LianSpy 모바일 스파이웨어

LianSpy 모바일 스파이웨어

Mobile Malware, Spyware년에 Mezo 년까지
번역 :
한국어

최소 2021년부터 러시아 사용자는 LianSpy로 알려진 이전에 문서화되지 않은 Android 손상 후 스파이웨어의 표적이 되었습니다. 사이버 보안 연구원들은 2024년 3월에 이 악성 코드를 발견했습니다. 전문가들은 명령 및 제어(C2) 통신에 러시아 클라우드 서비스인 Yandex Cloud를 사용하여 전용 인프라를 피하고 탐지를 회피할 수 있다는 점을 강조했습니다. LianSpy는 스크린캐스트 캡처, 사용자 파일 추출, 통화 기록 및 앱 목록 수집이 가능합니다.

이 스파이웨어의 배포 방법은 아직 불분명하지만 연구원들은 이 스파이웨어가 알려지지 않은 보안 결함을 통해 배포되거나 대상 전화에 대한 직접적인 물리적 액세스를 통해 배포될 가능성이 있다고 제안합니다. 악성 코드가 포함된 애플리케이션은 Alipay 또는 Android 시스템 서비스로 위장합니다.

LianSpy 스파이웨어는 어떻게 작동합니까?

활성화되면 LianSpy는 관리자 권한으로 백그라운드에서 작동하기 위해 시스템 앱으로 실행되고 있는지 확인합니다. 그렇지 않은 경우 연락처, 통화 기록, 알림에 액세스하고 화면에 오버레이를 그릴 수 있는 광범위한 권한을 요청합니다.

또한 스파이웨어는 재부팅 후에도 지속되는 구성을 설정하기 위해 디버깅 환경에서 실행 중인지 확인합니다. 그런 다음 런처에서 아이콘을 숨기고 스크린샷 찍기, 데이터 추출, 구성 업데이트 등의 활동을 트리거하여 캡처할 정보 유형을 지정합니다.

일부 변종에는 LianSpy에 러시아의 인기 있는 인스턴트 메시징 애플리케이션에서 데이터를 수집하고 Wi-Fi 또는 모바일 네트워크에 연결된 경우에만 악성 코드가 실행되는지 여부를 제어하는 옵션이 포함되어 있습니다.

구성을 업데이트하기 위해 LianSpy는 위협 행위자의 Yandex 디스크에서 '^frame_.+.png$' 정규식과 일치하는 파일을 30초마다 검색합니다. 파일이 발견되면 해당 파일이 애플리케이션의 내부 데이터 디렉터리에 다운로드됩니다.

LianSpy 스파이웨어의 스텔스 기능

수집된 데이터는 암호화되어 데이터 유형과 SHA-256 해시를 기록하는 SQL 데이터베이스 테이블에 저장됩니다. 해당 개인 RSA 키를 가진 위협 행위자만이 훔친 정보를 해독할 수 있습니다.

LianSpy는 상태 표시줄 아이콘을 표시하기 위해 마이크 및 카메라 권한을 요청하는 애플리케이션이 필요한 Android 12에 도입된 개인 정보 보호 표시 기능을 우회하여 은밀함을 보여줍니다.

LianSpy 개발자는 상태 표시줄에 알림 아이콘이 표시되지 않도록 하는 Android 보안 설정 매개변수 'icon_blacklist'에 Cast 값을 추가하여 이 보호 기능을 우회했습니다. 또한 LianSpy는 상태 표시줄 알림을 처리하고 억제하기 위해 'NotificationListenerService'를 사용하여 호출하는 백그라운드 서비스에서 알림을 숨깁니다.

위협 행위자들이 합법적인 서비스를 점점 더 많이 활용하고 있습니다.

LianSpy의 정교한 기능에는 'mu'로 이름이 변경된 'su' 바이너리를 사용하여 루트 액세스 권한을 얻는 것이 포함됩니다. 이는 악성코드가 알 수 없는 악용이나 장치에 대한 물리적 접근을 통해 전달될 가능성이 있음을 나타냅니다.

LianSpy는 또한 단방향 명령 및 제어(C2) 통신을 구현하여 스텔스를 강조합니다. 즉, 악성 코드가 들어오는 명령을 받지 않습니다. 수집된 데이터를 전송하고 구성 명령을 저장하는 데 Yandex 디스크를 사용합니다.

Yandex 디스크의 자격 증명은 악성 코드 변종에 따라 달라지는 하드 코딩된 Pastebin URL을 통해 업데이트됩니다. 합법적인 서비스를 활용하면 난독화 계층이 추가되어 속성이 복잡해집니다.

점점 늘어나고 있는 스파이웨어 도구의 최신 항목인 LianSpy는 제로 데이 취약점을 이용하여 Android 및 iOS 모두의 모바일 장치를 표적으로 삼습니다. 통화 기록 및 애플리케이션 목록 수집과 같은 표준 스파이 전술 외에도 은밀한 화면 녹화 및 회피를 위해 루트 권한을 사용합니다. 이름이 변경된 'su' 바이너리를 사용하면 초기 손상 후 2차 감염이 발생할 수 있음을 알 수 있습니다.

트렌드

LYRA 얼리 어답터 사기

Phishing, Spam
LYRA 얼리 어답터 사기는 사기꾼이 합법적인 LYRA 웹사이트(lyra[.]finance)의 사기 복사본을 만드는 사기 수법입니다. 이 가짜 사이트인 Register-lyra[.]finance는 의심하지 않는 방문자를 속여 암호화폐 자금을 손실하게 만드는 것을 목표로 합니다. 사용자는 이 사기 사이트와 상호 작용을 피하는 것이 좋습니다. 연방거래위원회(FTC)에 따르면 2021년 초부터 46,000명이 넘는 사람들이 다양한 사기로 인해 10억 달러 이상의 암호화폐를 잃었다고 보고했습니다. 이 금액은 분실 신고된 4달러 중 약 1달러에 해당하며 암호화폐 사기가 재정적 손실의 주요 방법이 됩니다. "LYRA 얼리 어답터" 사기 세부 정보 Lyra(lyra[.]finance)는 정확하고 편향된 가격으로...

대거플라이(Daggerfly) APT 그룹

Mac Malware, Advanced Persistent Threat (APT), Malware
Daggerfly로 알려진 베이징 산하 국가 후원 해킹 그룹이 대만의 조직과 중국에서 활동하는 미국 비정부 기구(NGO)를 표적으로 삼았습니다. 그들은 이러한 공격에 향상된 맬웨어 도구 모음을 사용했습니다. 이 캠페인은 해당 그룹이 내부 스파이 활동도 수행하고 있음을 나타냅니다. NGO를 공격하는 동안 해커는 Apache HTTP 서버의 취약점을...
조심하세요! 암호화폐를 훔치기 위한 가짜 Zoom 악성 코드 사기 발견 스크린샷

조심하세요! 암호화폐를 훔치기 위한 가짜 Zoom 악성 코드 사기 발견

Computer Security
암호화폐 사기꾼은 사용자를 속여 악성 코드를 설치하도록 속여 상당한 암호화폐 도난을 초래하는 악의적인 Zoom 유사 기능과 관련된 새로운 계획을 고안했습니다. 7월 22일, NFT(Non-Fungible Token) 수집가이자 사이버 보안 엔지니어인 "NFT_Dreww"는 소셜 미디어 플랫폼 X에서 발생하는 이 정교한 사기에 대해 대중에게...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
84,070
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
64,636
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...