Mobilne oprogramowanie szpiegujące LianSpy
Co najmniej od 2021 r. użytkownicy w Rosji byli celem nieudokumentowanego oprogramowania szpiegującego po włamaniu do Androida, znanego jako LianSpy. Badacze zajmujący się cyberbezpieczeństwem odkryli to szkodliwe oprogramowanie w marcu 2024 r. Eksperci podkreślili, że wykorzystuje ono rosyjską usługę Yandex Cloud do komunikacji typu Command and Control (C2), umożliwiając ominięcie dedykowanej infrastruktury i wykrycie. LianSpy może przechwytywać screencasty, wydobywać pliki użytkownika oraz zbierać dzienniki połączeń i listy aplikacji.
Metoda dystrybucji tego oprogramowania szpiegującego pozostaje niejasna, ale badacze sugerują, że jest ono prawdopodobnie wdrażane w wyniku nieznanej luki w zabezpieczeniach lub bezpośredniego fizycznego dostępu do telefonu docelowego. Aplikacje zawierające złośliwe oprogramowanie podszywają się pod Alipay lub usługę systemu Android.
Spis treści
Jak działa oprogramowanie szpiegujące LianSpy?
Po aktywacji LianSpy sprawdza, czy działa jako aplikacja systemowa, która ma działać w tle z uprawnieniami administratora. Jeśli nie, żąda szerokiego zakresu uprawnień dostępu do kontaktów, dzienników połączeń, powiadomień i rysowania nakładek na ekranie.
Oprogramowanie szpiegujące sprawdza również, czy działa w środowisku debugowania, aby skonfigurować konfigurację, która będzie trwała po ponownym uruchomieniu. Następnie ukrywa swoją ikonę w programie uruchamiającym i uruchamia działania, takie jak robienie zrzutów ekranu, wydobywanie danych i aktualizowanie konfiguracji w celu określenia typów informacji do przechwytywania.
W niektórych wariantach LianSpy zawiera między innymi opcje gromadzenia danych z popularnych komunikatorów internetowych w Rosji i kontrolowania, czy złośliwe oprogramowanie działa tylko po podłączeniu do Wi-Fi lub sieci komórkowej.
Aby zaktualizować swoją konfigurację, LianSpy co 30 sekund wyszukuje plik na dysku Yandex osoby zagrażającej, który odpowiada wyrażeniu regularnemu „^frame_.+.png$”. Jeśli zostanie znaleziony, plik zostanie pobrany do wewnętrznego katalogu danych aplikacji.
Możliwości ukrywania się oprogramowania szpiegującego LianSpy
Zebrane dane są szyfrowane i przechowywane w tabeli bazy danych SQL, która rejestruje typ danych i ich skrót SHA-256. Tylko ugrupowanie zagrażające posiadające odpowiedni prywatny klucz RSA może odszyfrować te skradzione informacje.
LianSpy demonstruje swoją skuteczność w ukrywaniu się, omijając funkcję wskaźników prywatności wprowadzoną w systemie Android 12, która wymaga, aby aplikacje żądały uprawnień do mikrofonu i kamery, aby wyświetlić ikonę na pasku stanu.
Twórcom LianSpy udało się ominąć to zabezpieczenie, dołączając wartość rzutowania do parametru bezpiecznego ustawienia Androida „icon_blacklist”, który zapobiega pojawianiu się ikon powiadomień na pasku stanu. Dodatkowo LianSpy ukrywa powiadomienia z usług w tle, które wywołuje, korzystając z usługi „NotificationListenerService” do przetwarzania i ukrywania powiadomień na pasku stanu.
Podmioty zagrażające coraz częściej korzystają z legalnych usług
Zaawansowana funkcja LianSpy polega na użyciu pliku binarnego „su”, którego nazwa została zmieniona na „mu”, w celu uzyskania dostępu do konta root. Oznacza to, że złośliwe oprogramowanie jest prawdopodobnie dostarczane poprzez nieznany exploit lub fizyczny dostęp do urządzenia.
LianSpy kładzie również nacisk na ukrycie się, wdrażając jednokierunkową komunikację typu Command-and-Control (C2), co oznacza, że złośliwe oprogramowanie nie otrzymuje przychodzących poleceń. Wykorzystuje dysk Yandex zarówno do przesyłania zebranych danych, jak i przechowywania poleceń konfiguracyjnych.
Dane uwierzytelniające Yandex Disk są aktualizowane za pomocą zakodowanego na stałe adresu URL Pastebin, który różni się w zależności od wariantu złośliwego oprogramowania. Korzystanie z legalnych usług powoduje dodatkową warstwę zaciemnienia, co komplikuje atrybucję.
Jako najnowszy wpis w rosnącej gamie narzędzi spyware, LianSpy atakuje urządzenia mobilne — zarówno z systemem Android, jak i iOS — wykorzystując luki dnia zerowego. Oprócz standardowych taktyk szpiegowskich, takich jak zbieranie dzienników połączeń i list aplikacji, wykorzystuje uprawnienia roota do nagrywania i unikania ukrytych ekranów. Użycie pliku binarnego o zmienionej nazwie sugeruje, że może to oznaczać wtórną infekcję po początkowym kompromisie.
