LianSpy mobil spionvare

Siden minst 2021 har brukere i Russland blitt målrettet av en tidligere udokumentert Android-spionvare etter kompromiss, kjent som LianSpy. Cybersikkerhetsforskere avdekket denne skadelige programvaren i mars 2024. Eksperter fremhevet bruken av Yandex Cloud, en russisk skytjeneste, for Command-and-Control (C2)-kommunikasjon, noe som gjør det mulig for den å unngå en dedikert infrastruktur og unngå oppdagelse. LianSpy er i stand til å fange opp skjermdumper, eksfiltrere brukerfiler og samle anropslogger og applister.

Distribusjonsmetoden til denne spionvaren er fortsatt uklar, men forskere antyder at den sannsynligvis er distribuert gjennom enten en ukjent sikkerhetsfeil eller direkte fysisk tilgang til måltelefonen. De skadelige programmene er forkledd som Alipay eller en Android-systemtjeneste.

Hvordan fungerer LianSpy-spywaren?

Når den er aktivert, avgjør LianSpy om den kjører som en systemapp for å operere i bakgrunnen med administratorrettigheter. Hvis ikke, ber den om et bredt spekter av tillatelser for å få tilgang til kontakter, anropslogger, varsler og tegneoverlegg på skjermen.

Spionvaren sjekker også om den kjøres i et feilsøkingsmiljø for å sette opp en konfigurasjon som vedvarer ved omstart. Den skjuler deretter ikonet sitt fra startprogrammet og utløser aktiviteter, for eksempel å ta skjermbilder, eksfiltrere data og oppdatere konfigurasjonen for å spesifisere typen informasjon som skal fanges.

I noen varianter inkluderer LianSpy alternativer for å samle inn data fra populære direktemeldingsapplikasjoner i Russland og for å kontrollere om skadelig programvare bare kjører når den er koblet til Wi-Fi eller et mobilnettverk, blant andre innstillinger.

For å oppdatere konfigurasjonen, søker LianSpy hvert 30. sekund etter en fil på en trusselaktørs Yandex-disk som samsvarer med det regulære uttrykket '^frame_.+.png$.' Hvis den blir funnet, lastes filen ned til programmets interne datakatalog.

Stealth-funksjonene til LianSpy-spyware

De høstede dataene er kryptert og lagret i en SQL-databasetabell, som registrerer datatypen og dens SHA-256-hash. Bare en trusselaktør med den tilhørende private RSA-nøkkelen kan dekryptere denne stjålne informasjonen.

LianSpy demonstrerer sin sniking ved å omgå funksjonen for personvernindikatorer introdusert i Android 12, som krever at applikasjoner ber om mikrofon- og kameratillatelser for å vise et statuslinjeikon.

Utviklerne av LianSpy har klart å omgå denne beskyttelsen ved å legge til en cast-verdi til Android-sikkerhetsparameteren 'icon_blacklist', som forhindrer varslingsikoner fra å vises i statuslinjen. I tillegg skjuler LianSpy varsler fra bakgrunnstjenester den påkaller ved å bruke 'NotificationListenerService' for å behandle og undertrykke statuslinjevarslinger.

Trusselaktører drar i økende grad fordel av legitime tjenester

En sofistikert funksjon i LianSpy innebærer å bruke 'su'-binæren, omdøpt til 'mu', for å få root-tilgang. Dette indikerer at skadelig programvare sannsynligvis leveres gjennom enten en ukjent utnyttelse eller fysisk tilgang til enheten.

LianSpy legger også vekt på stealth ved å implementere enveis kommando-og-kontroll (C2) kommunikasjon, noe som betyr at skadelig programvare ikke mottar innkommende kommandoer. Den bruker Yandex Disk for både overføring av innhøstede data og lagring av konfigurasjonskommandoer.

Legitimasjonen for Yandex Disk oppdateres via en hardkodet Pastebin-URL, som varierer mellom malware-varianter. Bruk av legitime tjenester legger til et ekstra lag med tilsløring, noe som kompliserer attribusjon.

Som den siste oppføringen i et voksende utvalg av spionvareverktøy, retter LianSpy seg mot mobile enheter – både Android og iOS – ved å utnytte nulldagssårbarheter. I tillegg til standard spionasjetaktikker som å samle anropslogger og applikasjonslister, bruker den root-privilegier for skjult skjermopptak og unndragelse. Bruken av en omdøpt 'su'-binær antyder at det kan innebære en sekundær infeksjon etter et innledende kompromiss.