Perisian Perisik Mudah Alih LianSpy

Sejak sekurang-kurangnya 2021, pengguna di Rusia telah disasarkan oleh perisian pengintip pasca kompromi Android yang tidak didokumenkan sebelum ini yang dikenali sebagai LianSpy. Penyelidik keselamatan siber menemui perisian hasad ini pada Mac 2024. Pakar menyerlahkan penggunaan Yandex Cloud, perkhidmatan awan Rusia, untuk komunikasi Command-and-Control (C2), membolehkannya mengelakkan infrastruktur khusus dan mengelak pengesanan. LianSpy mampu menangkap siaran skrin, mengekstrak fail pengguna, dan menuai log panggilan dan senarai aplikasi.

Kaedah pengedaran perisian pengintip ini masih tidak jelas, tetapi penyelidik mencadangkan ia mungkin digunakan melalui sama ada kecacatan keselamatan yang tidak diketahui atau akses fizikal terus ke telefon sasaran. Aplikasi yang dilapisi perisian hasad menyamar sebagai Alipay atau perkhidmatan sistem Android.

Bagaimana Perisian Perisik LianSpy Beroperasi?

Setelah diaktifkan, LianSpy menentukan sama ada ia berjalan sebagai apl sistem untuk beroperasi di latar belakang dengan keistimewaan pentadbir. Jika tidak, ia meminta pelbagai kebenaran untuk mengakses kenalan, log panggilan, pemberitahuan dan melukis tindanan pada skrin.

Perisian pengintip juga menyemak sama ada ia dilaksanakan dalam persekitaran penyahpepijatan untuk menyediakan konfigurasi yang berterusan sepanjang but semula. Ia kemudian menyembunyikan ikonnya daripada pelancar dan mencetuskan aktiviti, seperti mengambil tangkapan skrin, mengeluarkan data dan mengemas kini konfigurasinya untuk menentukan jenis maklumat untuk ditangkap.

Dalam beberapa varian, LianSpy menyertakan pilihan untuk mengumpulkan data daripada aplikasi pemesejan segera yang popular di Rusia dan untuk mengawal sama ada perisian hasad berjalan hanya apabila disambungkan ke Wi-Fi atau rangkaian mudah alih, antara tetapan lain.

Untuk mengemas kini konfigurasinya, LianSpy mencari setiap 30 saat untuk fail pada Cakera Yandex aktor ancaman yang sepadan dengan ungkapan biasa '^frame_.+.png$.' Jika ditemui, fail itu dimuat turun ke direktori data dalaman aplikasi.

Keupayaan Stealth Perisian Perisik LianSpy

Data yang dituai disulitkan dan disimpan dalam jadual pangkalan data SQL, yang merekodkan jenis data dan cincang SHA-256nya. Hanya pelakon ancaman dengan kunci RSA persendirian yang sepadan boleh menyahsulit maklumat yang dicuri ini.

LianSpy menunjukkan kesembunyiannya dengan memintas ciri penunjuk privasi yang diperkenalkan dalam Android 12, yang memerlukan aplikasi yang meminta kebenaran mikrofon dan kamera untuk memaparkan ikon bar status.

Pembangun LianSpy telah berjaya memintas perlindungan ini dengan menambahkan nilai cast pada parameter tetapan selamat Android 'icon_blacklist', yang menghalang ikon pemberitahuan daripada muncul dalam bar status. Selain itu, LianSpy menyembunyikan pemberitahuan daripada perkhidmatan latar belakang yang digunakan dengan menggunakan 'NotificationListenerService' untuk memproses dan menyekat pemberitahuan bar status.

Ancaman Pelakon Semakin Memanfaatkan Perkhidmatan Yang Sah

Ciri sofistikated LianSpy melibatkan penggunaan binari 'su', dinamakan semula kepada 'mu,' untuk mendapatkan akses root. Ini menunjukkan bahawa perisian hasad mungkin dihantar melalui sama ada eksploitasi yang tidak diketahui atau akses fizikal kepada peranti.

LianSpy juga menekankan kesembunyian dengan melaksanakan komunikasi Perintah-dan-Kawalan (C2) satu arah, bermakna perisian hasad tidak menerima arahan masuk. Ia menggunakan Cakera Yandex untuk menghantar data yang dituai dan menyimpan arahan konfigurasi.

Bukti kelayakan untuk Cakera Yandex dikemas kini melalui URL Pastebin berkod keras, yang berbeza-beza antara varian perisian hasad. Menggunakan perkhidmatan yang sah menambahkan lapisan tambahan kekeliruan, merumitkan atribusi.

Sebagai entri terbaharu dalam rangkaian alat perisian pengintip yang semakin meningkat, LianSpy menyasarkan peranti mudah alih—kedua-dua Android dan iOS—dengan mengeksploitasi kelemahan sifar hari. Selain taktik pengintipan standard seperti mengumpul log panggilan dan senarai aplikasi, ia menggunakan keistimewaan akar untuk rakaman skrin rahsia dan pengelakan. Penggunaan binari 'su' yang dinamakan semula mencadangkan ia mungkin melibatkan jangkitan sekunder berikutan kompromi awal.