LianSpy mobilā spiegprogrammatūra
Vismaz kopš 2021. gada lietotājiem Krievijā ir bijusi iepriekš nedokumentēta Android pēckompromisa spiegprogrammatūra, kas pazīstama kā LianSpy. Kiberdrošības pētnieki atklāja šo ļaunprogrammatūru 2024. gada martā. Eksperti uzsvēra, ka tā izmanto Krievijas mākoņpakalpojumu Yandex Cloud Command-and-Control (C2) sakariem, ļaujot tai izvairīties no īpašas infrastruktūras un izvairīties no atklāšanas. LianSpy spēj tvert ekrānuzņēmumus, izfiltrēt lietotāju failus un apkopot zvanu žurnālus un lietotņu sarakstus.
Šīs spiegprogrammatūras izplatīšanas metode joprojām nav skaidra, taču pētnieki norāda, ka tā, visticamāk, ir ieviesta vai nu nezināma drošības trūkuma dēļ, vai tiešas fiziskas piekļuves dēļ mērķa tālrunim. Lietojumprogrammas, kurās ir ļaunprātīga programmatūra, ir maskētas kā Alipay vai Android sistēmas pakalpojums.
Satura rādītājs
Kā darbojas LianSpy spiegprogrammatūra?
Pēc aktivizēšanas LianSpy nosaka, vai tā darbojas kā sistēmas lietotne, lai darbotos fonā ar administratora privilēģijām. Ja nē, tas pieprasa plašu atļauju klāstu, lai piekļūtu kontaktpersonām, zvanu žurnāliem, paziņojumiem un zīmētu pārklājumus ekrānā.
Spiegprogrammatūra arī pārbauda, vai tā tiek izpildīta atkļūdošanas vidē, lai iestatītu konfigurāciju, kas saglabājas pēc atkārtotas palaišanas. Pēc tam tas paslēpj savu ikonu no palaišanas programmas un aktivizē darbības, piemēram, ekrānuzņēmumu uzņemšanu, datu izfiltrēšanu un konfigurācijas atjaunināšanu, lai norādītu tveramās informācijas veidus.
Dažos variantos LianSpy cita starpā ietver iespējas vākt datus no populārām tūlītējās ziņojumapmaiņas lietojumprogrammām Krievijā un kontrolēt, vai ļaunprogrammatūra darbojas tikai tad, kad ir izveidots savienojums ar Wi-Fi vai mobilo tīklu.
Lai atjauninātu savu konfigurāciju, LianSpy ik pēc 30 sekundēm meklē failu apdraudējuma dalībnieka Yandex diskā, kas atbilst regulārajai izteiksmei '^frame_.+.png$.' Ja fails tiek atrasts, tas tiek lejupielādēts lietojumprogrammas iekšējo datu direktorijā.
LianSpy spiegprogrammatūras slepenās iespējas
Iegūtie dati tiek šifrēti un saglabāti SQL datu bāzes tabulā, kurā tiek ierakstīts datu veids un to SHA-256 jaucējkods. Šo nozagto informāciju var atšifrēt tikai apdraudējuma dalībnieks ar atbilstošu privāto RSA atslēgu.
LianSpy demonstrē savu slepenību, apejot operētājsistēmā Android 12 ieviesto privātuma indikatoru funkciju, kas pieprasa lietojumprogrammām, kas pieprasa mikrofona un kameras atļaujas, lai parādītu statusa joslas ikonu.
LianSpy izstrādātājiem ir izdevies apiet šo aizsardzību, Android drošā iestatījuma parametram “icon_blacklist” pievienojot apraides vērtību, kas neļauj statusa joslā parādīties paziņojumu ikonām. Turklāt LianSpy slēpj paziņojumus no fona pakalpojumiem, kurus tas izsauc, izmantojot pakalpojumu NotificationListenerService, lai apstrādātu un apspiestu statusa joslas paziņojumus.
Draudu dalībnieki arvien vairāk izmanto likumīgo pakalpojumu priekšrocības
Sarežģīta LianSpy funkcija ietver binārā “su” izmantošanu, kas pārdēvēta par “mu”, lai iegūtu root piekļuvi. Tas norāda, ka ļaunprogrammatūra, visticamāk, tiek piegādāta, izmantojot nezināmu izmantošanu vai fizisku piekļuvi ierīcei.
LianSpy arī uzsver slepenību, ieviešot vienvirziena Command-and-Control (C2) sakarus, kas nozīmē, ka ļaunprogrammatūra nesaņem ienākošās komandas. Tas izmanto Yandex Disk gan savākto datu pārsūtīšanai, gan konfigurācijas komandu glabāšanai.
Yandex Disk akreditācijas dati tiek atjaunināti, izmantojot cieto kodu Pastebin URL, kas atšķiras atkarībā no ļaunprātīgas programmatūras variantiem. Leģitīmu pakalpojumu izmantošana rada papildu neskaidrības, apgrūtinot attiecināšanu.
Kā jaunākais ieraksts arvien pieaugošajā spiegprogrammatūras rīku klāstā LianSpy ir paredzēts mobilajām ierīcēm — gan Android, gan iOS —, izmantojot nulles dienas ievainojamības. Papildus standarta spiegošanas taktikai, piemēram, zvanu žurnālu un lietojumprogrammu sarakstu apkopošanai, tajā tiek izmantotas root tiesības slēptai ekrāna ierakstīšanai un izvairīšanās no tā. Pārdēvēta “su” bināra izmantošana liecina, ka tā var būt saistīta ar sekundāru infekciju pēc sākotnējā kompromisa.
