LianSpy mobiele spyware
Sinds minstens 2021 zijn gebruikers in Rusland het doelwit van een voorheen ongedocumenteerde Android-post-compromis-spyware, bekend als LianSpy. Cybersecurity-onderzoekers ontdekten deze malware in maart 2024. Experts benadrukten het gebruik van de Yandex Cloud, een Russische cloudservice, voor Command-and-Control (C2)-communicatie, waardoor deze een speciale infrastructuur kon vermijden en detectie kon omzeilen. LianSpy kan screencasts vastleggen, gebruikersbestanden exfiltreren en oproeplogboeken en app-lijsten verzamelen.
De distributiemethode van deze spyware blijft onduidelijk, maar onderzoekers suggereren dat deze waarschijnlijk wordt ingezet via een onbekende beveiligingsfout of directe fysieke toegang tot de doeltelefoon. De met malware doorspekte applicaties zijn vermomd als Alipay of een Android-systeemservice.
Inhoudsopgave
Hoe werkt de LianSpy-spyware?
Eenmaal geactiveerd, bepaalt LianSpy of het draait als een systeemapp om op de achtergrond te werken met beheerdersrechten. Als dat niet het geval is, vraagt het om een breed scala aan machtigingen voor toegang tot contacten, oproeplogboeken, meldingen en het tekenen van overlays op het scherm.
De spyware controleert ook of deze wordt uitgevoerd in een foutopsporingsomgeving om een configuratie op te zetten die ook na opnieuw opstarten blijft bestaan. Vervolgens verbergt het zijn pictogram voor het opstartprogramma en activeert het activiteiten, zoals het maken van schermafbeeldingen, het exfiltreren van gegevens en het bijwerken van de configuratie om te specificeren welke soorten informatie moeten worden vastgelegd.
In sommige varianten bevat LianSpy onder andere opties om gegevens te verzamelen van populaire instant messaging-applicaties in Rusland en om te bepalen of de malware alleen wordt uitgevoerd wanneer verbonden met wifi of een mobiel netwerk.
Om de configuratie bij te werken, zoekt LianSpy elke 30 seconden naar een bestand op de Yandex-schijf van een bedreigingsacteur dat overeenkomt met de reguliere expressie '^frame_.+.png$.' Indien gevonden, wordt het bestand gedownload naar de interne gegevensmap van de applicatie.
De stealth-mogelijkheden van de LianSpy-spyware
De verzamelde gegevens worden gecodeerd en opgeslagen in een SQL-databasetabel, die het type gegevens en de SHA-256-hash registreert. Alleen een bedreigingsacteur met de bijbehorende privé-RSA-sleutel kan deze gestolen informatie ontsleutelen.
LianSpy demonstreert zijn stealth door de privacy-indicatorenfunctie te omzeilen die in Android 12 is geïntroduceerd, waarbij applicaties die microfoon- en camerarechten vragen om een statusbalkpictogram weer te geven.
De ontwikkelaars van LianSpy zijn erin geslaagd deze bescherming te omzeilen door een cast-waarde toe te voegen aan de veilige instellingsparameter 'icon_blacklist' van Android, waardoor wordt voorkomen dat meldingspictogrammen in de statusbalk verschijnen. Bovendien verbergt LianSpy meldingen van achtergrondservices die het aanroept door de 'NotificationListenerService' te gebruiken om statusbalkmeldingen te verwerken en te onderdrukken.
Bedreigingsactoren maken steeds vaker misbruik van legitieme diensten
Een geavanceerde functie van LianSpy is het gebruik van het binaire bestand 'su', hernoemd naar 'mu', om root-toegang te krijgen. Dit geeft aan dat de malware waarschijnlijk wordt verspreid via een onbekende exploit of fysieke toegang tot het apparaat.
LianSpy legt ook de nadruk op stealth door unidirectionele Command-and-Control (C2)-communicatie te implementeren, wat betekent dat de malware geen binnenkomende opdrachten ontvangt. Het gebruikt Yandex Disk voor zowel het verzenden van geoogste gegevens als het opslaan van configuratieopdrachten.
De inloggegevens voor Yandex Disk worden bijgewerkt via een hardgecodeerde Pastebin-URL, die per malwarevariant varieert. Het gebruik van legitieme diensten voegt een extra laag van verduistering toe, wat de attributie bemoeilijkt.
Als nieuwste toevoeging aan een groeiende reeks spywaretools richt LianSpy zich op mobiele apparaten (zowel Android als iOS) door gebruik te maken van zero-day-kwetsbaarheden. Naast standaard spionagetactieken zoals het verzamelen van oproeplogboeken en applicatielijsten, maakt het gebruik van rootprivileges voor geheime schermopnamen en ontduiking. Het gebruik van een hernoemde binaire code 'su' suggereert dat er sprake kan zijn van een secundaire infectie na een aanvankelijk compromis.
