LianSpy Mobilioji šnipinėjimo programa
Bent jau nuo 2021 m. Rusijos vartotojai buvo nukreipti į anksčiau nedokumentuotą „Android“ šnipinėjimo programą, žinomą kaip „LianSpy“. Kibernetinio saugumo tyrinėtojai šią kenkėjišką programą atskleidė 2024 m. kovo mėn. Ekspertai pabrėžė, kad ji naudoja Rusijos debesijos paslaugą „Yandex Cloud“ komandų ir valdymo (C2) ryšiui, leidžiančią išvengti tam skirtos infrastruktūros ir išvengti aptikimo. „LianSpy“ gali fiksuoti ekrano transliacijas, išfiltruoti vartotojo failus ir rinkti skambučių žurnalus bei programų sąrašus.
Šios šnipinėjimo programos platinimo metodas tebėra neaiškus, tačiau mokslininkai teigia, kad ji greičiausiai buvo įdiegta dėl nežinomo saugumo trūkumo arba tiesioginės fizinės prieigos prie tikslinio telefono. Kenkėjiškos programos yra užmaskuotos kaip „Alipay“ arba „Android“ sistemos paslauga.
Turinys
Kaip veikia LianSpy šnipinėjimo programa?
Kai suaktyvinta, LianSpy nustato, ar ji veikia kaip sistemos programa, kad veiktų fone su administratoriaus teisėmis. Jei ne, ji prašo daugybės leidimų pasiekti kontaktus, skambučių žurnalus, pranešimus ir piešti ekrane perdangas.
Šnipinėjimo programa taip pat patikrina, ar ji veikia derinimo aplinkoje, kad nustatytų konfigūraciją, kuri išlieka perkraunant iš naujo. Tada jis paslepia savo piktogramą nuo paleidimo priemonės ir suaktyvina veiklą, pvz., ekrano kopijų darymą, duomenų išfiltravimą ir konfigūracijos atnaujinimą, kad nurodytų fiksuojamos informacijos tipus.
Kai kuriuose variantuose „LianSpy“, be kitų nustatymų, apima parinktis rinkti duomenis iš populiarių momentinių pranešimų programų Rusijoje ir kontroliuoti, ar kenkėjiška programa veikia tik prisijungus prie „Wi-Fi“ ar mobiliojo ryšio tinklo.
Norėdama atnaujinti konfigūraciją, „LianSpy“ kas 30 sekundžių ieško failo, esančio grėsmės veikėjo „Yandex“ diske, atitinkančio reguliarųjį posakį „^frame_.+.png$“. Jei randama, failas atsisiunčiamas į programos vidinį duomenų katalogą.
„LianSpy“ šnipinėjimo programos slaptos galimybės
Surinkti duomenys užšifruojami ir saugomi SQL duomenų bazės lentelėje, kurioje įrašomas duomenų tipas ir jų SHA-256 maiša. Tik grėsmės veikėjas, turintis atitinkamą privatų RSA raktą, gali iššifruoti šią pavogtą informaciją.
„LianSpy“ demonstruoja savo slaptumą apeidama privatumo indikatorių funkciją, įdiegtą „Android 12“, kuri reikalauja, kad programos, prašančios mikrofono ir fotoaparato leidimo, parodytų būsenos juostos piktogramą.
„LianSpy“ kūrėjams pavyko apeiti šią apsaugą, pridėdami perdavimo reikšmę prie „Android“ saugaus nustatymo parametro „icon_blacklist“, kuris neleidžia pranešimų piktogramoms pasirodyti būsenos juostoje. Be to, „LianSpy“ paslepia pranešimus iš foninių paslaugų, kurias iškviečia naudodama „NotificationListenerService“, kad apdorotų ir slopintų būsenos juostos pranešimus.
Grėsmių veikėjai vis dažniau naudojasi teisėtomis paslaugomis
Sudėtinga LianSpy funkcija apima dvejetainio „su“ naudojimą, pervadintą į „mu“, norint gauti root prieigą. Tai rodo, kad kenkėjiška programa greičiausiai buvo pristatyta naudojant nežinomą išnaudojimą arba fizinę prieigą prie įrenginio.
„LianSpy“ taip pat pabrėžia slaptumą įdiegdama vienakrypčius komandų ir valdymo (C2) ryšius, o tai reiškia, kad kenkėjiška programa negauna įeinančių komandų. Jis naudoja „Yandex Disk“ surinktiems duomenims perduoti ir konfigūracijos komandoms saugoti.
„Yandex Disk“ kredencialai atnaujinami naudojant užkoduotą „Pastebin“ URL, kuris skiriasi priklausomai nuo kenkėjiškų programų variantų. Teisėtų paslaugų naudojimas prideda papildomo užmaskavimo ir apsunkina priskyrimą.
LianSpy, kaip naujausias vis didėjančio šnipinėjimo įrankių asortimento įrašas, taikosi į mobiliuosius įrenginius – tiek „Android“, tiek „iOS“ – išnaudodamas nulinės dienos pažeidžiamumą. Be standartinių šnipinėjimo taktikos, pvz., skambučių žurnalų ir programų sąrašų rinkimo, jis naudoja pagrindines teises slaptam ekrano įrašymui ir vengimui. Pervadinto dvejetainio „su“ naudojimas rodo, kad po pirminio kompromiso tai gali būti antrinė infekcija.
