LianSpy Mobile Spyware
Desde pelo menos 2021, os usuários na Rússia têm sido alvo de um spyware pós-comprometimento do Android, anteriormente não documentado, conhecido como LianSpy. Pesquisadores de segurança cibernética descobriram esse malware em março de 2024. Especialistas destacaram o uso do Yandex Cloud, um serviço de nuvem russo, para comunicações de Comando e Controle (C2), permitindo evitar uma infraestrutura dedicada e evitar a detecção. LianSpy é capaz de capturar screencasts, exfiltrar arquivos de usuários e coletar registros de chamadas e listas de aplicativos.
O método de distribuição desse spyware ainda não está claro, mas os pesquisadores sugerem que ele provavelmente é implantado por meio de uma falha de segurança desconhecida ou de acesso físico direto ao telefone alvo. Os aplicativos com malware são disfarçados como Alipay ou serviço do sistema Android.
Índice
Como o LianSpy Spyware Funciona?
Uma vez ativado, o LianSpy determina se está sendo executado como um aplicativo de sistema para operar em segundo plano com privilégios de administrador. Caso contrário, ele solicita uma ampla gama de permissões para acessar contatos, registros de chamadas, notificações e desenhar sobreposições na tela.
O spyware também verifica se está sendo executado em um ambiente de depuração para definir uma configuração que persista durante as reinicializações. Em seguida, ele oculta seu ícone do inicializador e aciona atividades, como tirar capturas de tela, exfiltrar dados e atualizar sua configuração para especificar os tipos de informações a serem capturadas.
Em algumas variantes, o LianSpy inclui opções para coletar dados de aplicativos populares de mensagens instantâneas na Rússia e para controlar se o malware é executado apenas quando conectado a uma rede Wi-Fi ou móvel, entre outras configurações.
Para atualizar sua configuração, o LianSpy procura a cada 30 segundos por um arquivo no Yandex Disk do agente da ameaça que corresponda à expressão regular '^frame_.+.png$.' Se encontrado, o arquivo será baixado no diretório de dados interno do aplicativo.
As Capacidades Furtivas do LianSpy Spyware
Os dados coletados são criptografados e armazenados em uma tabela de banco de dados SQL, que registra o tipo de dados e seu hash SHA-256. Somente um agente de ameaça com a chave RSA privada correspondente pode descriptografar essas informações roubadas.
O LianSpy demonstra sua furtividade contornando o recurso de indicadores de privacidade introduzido no Android 12, que exige que os aplicativos que solicitam permissões de microfone e câmera exibam um ícone na barra de status.
Os desenvolvedores do LianSpy conseguiram contornar essa proteção anexando um valor de conversão ao parâmetro de configuração segura do Android 'icon_blacklist', que evita que ícones de notificação apareçam na barra de status. Além disso, o LianSpy oculta notificações de serviços em segundo plano que invoca usando o 'NotificationListenerService' para processar e suprimir notificações da barra de status.
Os Autores de Ameaças Se Aproveitam cada Vez Mais dos Serviços Legítimos
Um recurso sofisticado do LianSpy envolve o uso do binário ‘su’, renomeado para ‘mu’, para obter acesso root. Isso indica que o malware provavelmente é entregue por meio de uma exploração desconhecida ou de acesso físico ao dispositivo.
O LianSpy também enfatiza a furtividade ao implementar comunicações unidirecionais de comando e controle (C2), o que significa que o malware não recebe comandos de entrada. Ele usa o Yandex Disk para transmitir dados coletados e armazenar comandos de configuração.
As credenciais do Yandex Disk são atualizadas por meio de um URL Pastebin codificado, que varia entre as variantes de malware. A utilização de serviços legítimos adiciona uma camada extra de ofuscação, complicando a atribuição.
Como a mais recente entrada em uma gama crescente de ferramentas de spyware, o LianSpy tem como alvo dispositivos móveis – Android e iOS – explorando vulnerabilidades de dia zero. Além das táticas de espionagem padrão, como coleta de registros de chamadas e listas de aplicativos, ele emprega privilégios de root para gravação e evasão de tela secreta. O uso de um binário 'su' renomeado sugere que pode envolver uma infecção secundária após um comprometimento inicial.
