LianSpy मोबाइल स्पाइवेयर
कम्तिमा 2021 देखि, रूसका प्रयोगकर्ताहरूलाई LianSpy भनेर चिनिने पहिलेको अनडकुमेन्टेड एन्ड्रोइड पोस्ट-सम्झौता स्पाइवेयर द्वारा लक्षित गरिएको छ। साइबरसुरक्षा अनुसन्धानकर्ताहरूले मार्च २०२४ मा यो मालवेयरको पर्दाफास गरे। विज्ञहरूले कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारका लागि यान्डेक्स क्लाउड, रूसी क्लाउड सेवाको प्रयोगलाई हाइलाइट गरे, यसलाई समर्पित पूर्वाधारबाट बच्न र पत्ता लगाउनबाट बच्न सक्षम पार्दै। LianSpy स्क्रिनकास्टहरू क्याप्चर गर्न, प्रयोगकर्ता फाइलहरू निकाल्न, र कल लगहरू र एप सूचीहरू काट्न सक्षम छ।
यस स्पाइवेयरको वितरण विधि अस्पष्ट रहन्छ, तर अनुसन्धानकर्ताहरूले यो सम्भवतः अज्ञात सुरक्षा त्रुटि वा लक्षित फोनमा प्रत्यक्ष भौतिक पहुँच मार्फत तैनात गरिएको सुझाव दिन्छ। मालवेयर-लेस्ड अनुप्रयोगहरू Alipay वा एन्ड्रोइड प्रणाली सेवाको रूपमा भेषमा छन्।
सामग्रीको तालिका
LianSpy स्पाइवेयर कसरी काम गर्छ?
एकपटक सक्रिय भएपछि, LianSpy ले प्रशासक विशेषाधिकारहरूसँग पृष्ठभूमिमा सञ्चालन गर्न प्रणाली एपको रूपमा चलिरहेको छ कि छैन भनेर निर्धारण गर्दछ। यदि होइन भने, यसले सम्पर्कहरू पहुँच गर्न, कल लगहरू, सूचनाहरू, र स्क्रिनमा ओभरलेहरू कोर्न अनुमतिहरूको विस्तृत दायरा अनुरोध गर्दछ।
स्पाइवेयरले पनि जाँच गर्दछ कि यो डिबगिङ वातावरणमा कार्यान्वयन भइरहेको छ कि कन्फिगरेसन सेटअप गर्न जुन रिबुटहरूमा जारी रहन्छ। त्यसपछि यसले लन्चरबाट आफ्नो आइकन लुकाउँछ र गतिविधिहरू ट्रिगर गर्दछ, जस्तै स्क्रिनसटहरू लिने, डेटा निकाल्ने र क्याप्चर गर्न जानकारीका प्रकारहरू निर्दिष्ट गर्न यसको कन्फिगरेसन अपडेट गर्ने।
केही भेरियन्टहरूमा, LianSpy ले रूसका लोकप्रिय इन्स्ट्यान्ट मेसेजिङ एपहरूबाट डाटा सङ्कलन गर्न र अन्य सेटिङहरू बीचमा Wi-Fi वा मोबाइल नेटवर्कमा जडान हुँदा मात्र मालवेयर चल्छ कि गर्दैन भन्ने नियन्त्रण गर्न विकल्पहरू समावेश गर्दछ।
यसको कन्फिगरेसन अद्यावधिक गर्न, LianSpy ले खतरा अभिनेताको Yandex डिस्कमा फाइलको लागि प्रत्येक 30 सेकेन्डमा खोज्छ जुन नियमित अभिव्यक्ति '^frame_.+.png$' सँग मेल खान्छ। यदि फेला पर्यो भने, फाइललाई एपको आन्तरिक डाटा डाइरेक्टरीमा डाउनलोड गरिन्छ।
LianSpy स्पाइवेयरको चोरी क्षमताहरू
काटिएको डाटा एन्क्रिप्टेड र SQL डाटाबेस तालिकामा भण्डारण गरिन्छ, जसले डाटाको प्रकार र यसको SHA-256 ह्यास रेकर्ड गर्दछ। सम्बन्धित निजी RSA कुञ्जीसँग खतरा अभिनेताले मात्र यो चोरी जानकारी डिक्रिप्ट गर्न सक्छ।
LianSpy ले एन्ड्रोइड 12 मा प्रस्तुत गरिएको गोपनीयता सूचक सुविधालाई छल गरेर आफ्नो चोरी प्रदर्शन गर्दछ, जसलाई स्टेटस बार आइकन प्रदर्शन गर्न माइक्रोफोन र क्यामेरा अनुमतिहरू अनुरोध गर्ने अनुप्रयोगहरू आवश्यक पर्दछ।
LianSpy का विकासकर्ताहरूले एन्ड्रोइड सुरक्षित सेटिङ प्यारामिटर 'icon_blacklist' मा कास्ट मान थपेर यो सुरक्षालाई बाइपास गर्न व्यवस्थित गरेका छन्, जसले सूचना आइकनहरूलाई स्थिति पट्टीमा देखा पर्नबाट रोक्छ। थप रूपमा, LianSpy ले 'NotificationListenerService' प्रयोग गरेर स्थिति पट्टी सूचनाहरू प्रशोधन गर्न र दबाउन प्रयोग गरेर पृष्ठभूमि सेवाहरूबाट सूचनाहरू लुकाउँछ।
थ्रेट अभिनेताहरूले बढ्दो रूपमा वैध सेवाहरूको फाइदा लिन्छन्
LianSpy को एक परिष्कृत विशेषतामा रूट पहुँच प्राप्त गर्न 'su' बाइनरी, 'mu' मा पुन: नामाकरण गरिएको प्रयोग समावेश छ। यसले मालवेयरलाई अज्ञात शोषण वा यन्त्रमा भौतिक पहुँच मार्फत डेलिभर गरेको हुन सक्ने संकेत गर्छ।
LianSpy ले युनिडायरेक्शनल कमाण्ड-एण्ड-कन्ट्रोल (C2) संचारहरू लागू गरेर स्टिल्थलाई जोड दिन्छ, यसको मतलब मालवेयरले आगमन आदेशहरू प्राप्त गर्दैन। यसले यान्डेक्स डिस्क प्रयोग गर्दछ दुबै काटिएको डाटा प्रसारण गर्न र कन्फिगरेसन आदेशहरू भण्डारण गर्नका लागि।
Yandex डिस्कका लागि प्रमाणहरू हार्ड-कोड गरिएको Pastebin URL मार्फत अद्यावधिक गरिन्छ, जुन मालवेयर भेरियन्टहरू बीच भिन्न हुन्छ। वैध सेवाहरूको प्रयोगले अस्पष्टताको अतिरिक्त तह थप्छ, एट्रिब्युसनलाई जटिल बनाउँछ।
स्पाइवेयर उपकरणहरूको बढ्दो एरेमा नवीनतम प्रविष्टिको रूपमा, LianSpy ले मोबाइल उपकरणहरूलाई लक्षित गर्दछ - Android र iOS दुवै - शून्य-दिनको कमजोरीहरूको शोषण गरेर। कल लगहरू र एप्लिकेसन सूचीहरू सङ्कलन गर्ने जस्ता मानक जासुसी रणनीतिहरूको अतिरिक्त, यसले गुप्त स्क्रिन रेकर्डिङ र चोरीका लागि मूल विशेषाधिकारहरू प्रयोग गर्दछ। पुन: नामाकरण गरिएको 'su' बाइनरीको प्रयोगले प्रारम्भिक सम्झौता पछि दोस्रो संक्रमण समावेश हुन सक्छ भन्ने सुझाव दिन्छ।
