LianSpy ਮੋਬਾਈਲ ਸਪਾਈਵੇਅਰ
ਘੱਟੋ-ਘੱਟ 2021 ਤੋਂ, ਰੂਸ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ LianSpy ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪਹਿਲਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ ਕੀਤੇ Android ਪੋਸਟ-ਸਮਝੌਤਾ ਸਪਾਈਵੇਅਰ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮਾਰਚ 2024 ਵਿੱਚ ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਮਾਹਰਾਂ ਨੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਲਈ ਯਾਂਡੇਕਸ ਕਲਾਉਡ, ਇੱਕ ਰੂਸੀ ਕਲਾਉਡ ਸੇਵਾ, ਦੀ ਵਰਤੋਂ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਇਸਨੂੰ ਸਮਰਪਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਬਚਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ। LianSpy ਸਕਰੀਨਕਾਸਟਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ, ਉਪਭੋਗਤਾ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ, ਅਤੇ ਕਾਲ ਲੌਗਸ ਅਤੇ ਐਪ ਸੂਚੀਆਂ ਦੀ ਕਟਾਈ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।
ਇਸ ਸਪਾਈਵੇਅਰ ਦੀ ਵੰਡ ਵਿਧੀ ਅਸਪਸ਼ਟ ਹੈ, ਪਰ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਸੁਝਾਅ ਹੈ ਕਿ ਇਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਕਿਸੇ ਅਣਜਾਣ ਸੁਰੱਖਿਆ ਨੁਕਸ ਜਾਂ ਟੀਚੇ ਵਾਲੇ ਫੋਨ ਤੱਕ ਸਿੱਧੀ ਸਰੀਰਕ ਪਹੁੰਚ ਦੁਆਰਾ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਮਾਲਵੇਅਰ ਨਾਲ ਲੈਸ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਅਲੀਪੇ ਜਾਂ ਇੱਕ ਐਂਡਰੌਇਡ ਸਿਸਟਮ ਸੇਵਾ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਰੱਖਿਆ ਗਿਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
LianSpy ਸਪਾਈਵੇਅਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ?
ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਟ ਹੋਣ 'ਤੇ, LianSpy ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇਹ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਅਧਿਕਾਰਾਂ ਦੇ ਨਾਲ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਸਿਸਟਮ ਐਪ ਵਜੋਂ ਚੱਲ ਰਿਹਾ ਹੈ। ਜੇਕਰ ਨਹੀਂ, ਤਾਂ ਇਹ ਸੰਪਰਕਾਂ, ਕਾਲ ਲੌਗਸ, ਸੂਚਨਾਵਾਂ, ਅਤੇ ਸਕ੍ਰੀਨ 'ਤੇ ਓਵਰਲੇਅ ਖਿੱਚਣ ਲਈ ਬਹੁਤ ਸਾਰੀਆਂ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ।
ਸਪਾਈਵੇਅਰ ਇਹ ਵੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇਹ ਇੱਕ ਸੰਰਚਨਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਡੀਬਗਿੰਗ ਵਾਤਾਵਰਣ ਵਿੱਚ ਚੱਲ ਰਿਹਾ ਹੈ ਜੋ ਰੀਬੂਟ ਦੌਰਾਨ ਜਾਰੀ ਰਹਿੰਦਾ ਹੈ। ਇਹ ਫਿਰ ਲਾਂਚਰ ਤੋਂ ਆਪਣੇ ਆਈਕਨ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ ਅਤੇ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣਾ, ਡੇਟਾ ਨੂੰ ਐਕਸਫਿਲਟਰ ਕਰਨਾ ਅਤੇ ਕੈਪਚਰ ਕਰਨ ਲਈ ਜਾਣਕਾਰੀ ਦੀਆਂ ਕਿਸਮਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਇਸਦੀ ਸੰਰਚਨਾ ਨੂੰ ਅਪਡੇਟ ਕਰਨਾ।
ਕੁਝ ਰੂਪਾਂ ਵਿੱਚ, LianSpy ਵਿੱਚ ਰੂਸ ਵਿੱਚ ਪ੍ਰਸਿੱਧ ਤਤਕਾਲ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਇਹ ਨਿਯੰਤਰਣ ਕਰਨ ਲਈ ਵਿਕਲਪ ਸ਼ਾਮਲ ਹਨ ਕਿ ਕੀ ਮਾਲਵੇਅਰ ਕੇਵਲ Wi-Fi ਜਾਂ ਮੋਬਾਈਲ ਨੈਟਵਰਕ ਨਾਲ ਕਨੈਕਟ ਹੋਣ 'ਤੇ ਹੀ ਚੱਲਦਾ ਹੈ, ਹੋਰ ਸੈਟਿੰਗਾਂ ਦੇ ਨਾਲ।
ਇਸਦੀ ਸੰਰਚਨਾ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਲਈ, LianSpy ਹਰ 30 ਸਕਿੰਟਾਂ ਵਿੱਚ ਇੱਕ ਧਮਕੀ ਐਕਟਰ ਦੀ Yandex ਡਿਸਕ 'ਤੇ ਇੱਕ ਫਾਈਲ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਜੋ ਰੈਗੂਲਰ ਸਮੀਕਰਨ '^frame_.+.png$' ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ। ਜੇਕਰ ਮਿਲਦਾ ਹੈ, ਤਾਂ ਫਾਈਲ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਅੰਦਰੂਨੀ ਡਾਟਾ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
LianSpy ਸਪਾਈਵੇਅਰ ਦੀਆਂ ਸਟੀਲਥ ਸਮਰੱਥਾਵਾਂ
ਕਟਾਈ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇੱਕ SQL ਡੇਟਾਬੇਸ ਟੇਬਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਡੇਟਾ ਦੀ ਕਿਸਮ ਅਤੇ ਇਸਦੇ SHA-256 ਹੈਸ਼ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ। ਸੰਬੰਧਿਤ ਪ੍ਰਾਈਵੇਟ RSA ਕੁੰਜੀ ਵਾਲਾ ਸਿਰਫ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਹੀ ਇਸ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰ ਸਕਦਾ ਹੈ।
LianSpy ਐਂਡਰੌਇਡ 12 ਵਿੱਚ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਗੋਪਨੀਯਤਾ ਸੂਚਕਾਂ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਰੋਕ ਕੇ ਆਪਣੀ ਸਟੀਲਥ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਲਈ ਇੱਕ ਸਟੇਟਸ ਬਾਰ ਆਈਕਨ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਮਾਈਕ੍ਰੋਫੋਨ ਅਤੇ ਕੈਮਰਾ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਨ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
LianSpy ਦੇ ਡਿਵੈਲਪਰਾਂ ਨੇ Android ਸੁਰੱਖਿਅਤ ਸੈਟਿੰਗ ਪੈਰਾਮੀਟਰ 'icon_blacklist' ਵਿੱਚ ਕਾਸਟ ਵੈਲਯੂ ਜੋੜ ਕੇ ਇਸ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਵਿੱਚ ਪ੍ਰਬੰਧਿਤ ਕੀਤਾ ਹੈ, ਜੋ ਸੂਚਨਾ ਆਈਕਨਾਂ ਨੂੰ ਸਟੇਟਸ ਬਾਰ ਵਿੱਚ ਦਿਖਾਈ ਦੇਣ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, LianSpy ਬੈਕਗ੍ਰਾਉਂਡ ਸੇਵਾਵਾਂ ਤੋਂ ਸੂਚਨਾਵਾਂ ਨੂੰ ਲੁਕਾਉਂਦਾ ਹੈ ਜੋ ਇਹ ਸਥਿਤੀ ਬਾਰ ਸੂਚਨਾਵਾਂ ਨੂੰ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਅਤੇ ਦਬਾਉਣ ਲਈ 'NotificationListenerService' ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੁਲਾਉਂਦੀ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਵੱਧ ਤੋਂ ਵੱਧ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦਾ ਲਾਭ ਲੈਂਦੇ ਹਨ
LianSpy ਦੀ ਇੱਕ ਵਧੀਆ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਰੂਟ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ 'su' ਬਾਇਨਰੀ, ਜਿਸਦਾ ਨਾਮ ਬਦਲ ਕੇ 'mu' ਰੱਖਿਆ ਗਿਆ ਹੈ, ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਕਿਸੇ ਅਣਜਾਣ ਸ਼ੋਸ਼ਣ ਜਾਂ ਡਿਵਾਈਸ ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤਾ ਗਿਆ ਹੈ।
LianSpy ਯੂਨੀਡਾਇਰੈਕਸ਼ਨਲ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਸਟੀਲਥ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ, ਮਤਲਬ ਕਿ ਮਾਲਵੇਅਰ ਆਉਣ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਇਹ ਕਟਾਈ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਅਤੇ ਸੰਰਚਨਾ ਕਮਾਂਡਾਂ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ ਯਾਂਡੇਕਸ ਡਿਸਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਯਾਂਡੇਕਸ ਡਿਸਕ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇੱਕ ਹਾਰਡ-ਕੋਡ ਵਾਲੇ ਪੇਸਟਬਿਨ URL ਦੁਆਰਾ ਅੱਪਡੇਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਕਿ ਮਾਲਵੇਅਰ ਰੂਪਾਂ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਹੁੰਦੇ ਹਨ। ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਗੁੰਝਲਦਾਰ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਜੋੜਦਾ ਹੈ।
ਸਪਾਈਵੇਅਰ ਟੂਲਸ ਦੀ ਇੱਕ ਵਧ ਰਹੀ ਐਰੇ ਵਿੱਚ ਨਵੀਨਤਮ ਐਂਟਰੀ ਦੇ ਤੌਰ 'ਤੇ, LianSpy ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ—ਐਂਡਰਾਇਡ ਅਤੇ ਆਈਓਐਸ ਦੋਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਕਾਲ ਲੌਗ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਸੂਚੀਆਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਵਰਗੀਆਂ ਮਿਆਰੀ ਜਾਸੂਸੀ ਰਣਨੀਤੀਆਂ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਗੁਪਤ ਸਕ੍ਰੀਨ ਰਿਕਾਰਡਿੰਗ ਅਤੇ ਚੋਰੀ ਲਈ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਬਦਲੇ ਹੋਏ 'su' ਬਾਈਨਰੀ ਦੀ ਵਰਤੋਂ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਕਿ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤੇ ਤੋਂ ਬਾਅਦ ਇਸ ਵਿੱਚ ਸੈਕੰਡਰੀ ਲਾਗ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀ ਹੈ।
