LianSpy Mobile Spyware
Începând cu cel puțin 2021, utilizatorii din Rusia au fost vizați de un program spion Android nedocumentat anterior, cunoscut sub numele de LianSpy. Cercetătorii în domeniul securității cibernetice au descoperit acest malware în martie 2024. Experții au subliniat utilizarea Yandex Cloud, un serviciu cloud rusesc, pentru comunicațiile Command-and-Control (C2), permițându-i să evite o infrastructură dedicată și să evite detectarea. LianSpy este capabil să capteze screencast-uri, să exfiltreze fișierele utilizatorilor și să colecteze jurnalele de apeluri și listele de aplicații.
Metoda de distribuție a acestui program spion rămâne neclară, dar cercetătorii sugerează că este probabil implementat fie printr-o defecțiune de securitate necunoscută, fie prin acces fizic direct la telefonul țintă. Aplicațiile legate de malware sunt deghizate ca Alipay sau un serviciu de sistem Android.
Cuprins
Cum funcționează programul spyware LianSpy?
Odată activat, LianSpy stabilește dacă rulează ca o aplicație de sistem pentru a funcționa în fundal cu privilegii de administrator. Dacă nu, solicită o gamă largă de permisiuni pentru a accesa contacte, jurnalele de apeluri, notificări și pentru a desena suprapuneri pe ecran.
Spyware-ul verifică, de asemenea, dacă se execută într-un mediu de depanare pentru a configura o configurație care persistă la reporniri. Apoi își ascunde pictograma de lansator și declanșează activități, cum ar fi realizarea de capturi de ecran, exfiltrarea datelor și actualizarea configurației pentru a specifica tipurile de informații de capturat.
În unele variante, LianSpy include opțiuni pentru a colecta date din aplicațiile de mesagerie instantanee populare din Rusia și pentru a controla dacă malware-ul rulează doar atunci când este conectat la Wi-Fi sau la o rețea mobilă, printre alte setări.
Pentru a-și actualiza configurația, LianSpy caută la fiecare 30 de secunde un fișier pe discul Yandex al unui actor de amenințare care se potrivește cu expresia regulată „^frame_.+.png$”. Dacă este găsit, fișierul este descărcat în directorul de date intern al aplicației.
Capabilitățile ascunse ale programului spyware LianSpy
Datele culese sunt criptate și stocate într-un tabel de bază de date SQL, care înregistrează tipul de date și hash-ul SHA-256. Numai un actor de amenințare cu cheia RSA privată corespunzătoare poate decripta aceste informații furate.
LianSpy își demonstrează ascuns prin eludarea caracteristicii indicatoare de confidențialitate introduse în Android 12, care necesită aplicații care solicită permisiuni pentru microfon și cameră pentru a afișa o pictogramă din bara de stare.
Dezvoltatorii LianSpy au reușit să ocolească această protecție adăugând o valoare cast la parametrul de setare securizat Android „icon_blacklist”, care împiedică apariția pictogramelor de notificare în bara de stare. În plus, LianSpy ascunde notificările de la serviciile de fundal pe care le invocă utilizând „NotificationListenerService” pentru a procesa și a suprima notificările din bara de stare.
Actorii de amenințări profită din ce în ce mai mult de serviciile legitime
O caracteristică sofisticată a LianSpy implică utilizarea binarului „su”, redenumit „mu”, pentru a obține acces la root. Acest lucru indică faptul că malware-ul este probabil livrat fie printr-o exploatare necunoscută, fie prin acces fizic la dispozitiv.
LianSpy subliniază, de asemenea, stealth prin implementarea de comunicații unidirecționale Command-and-Control (C2), ceea ce înseamnă că malware-ul nu primește comenzile primite. Utilizează Yandex Disk atât pentru transmiterea datelor culese, cât și pentru stocarea comenzilor de configurare.
Acreditările pentru Yandex Disk sunt actualizate printr-o adresă URL Pastebin codificată, care variază între variantele de malware. Utilizarea serviciilor legitime adaugă un strat suplimentar de ofuscare, complicând atribuirea.
Fiind cea mai recentă intrare într-o gamă tot mai mare de instrumente spyware, LianSpy vizează dispozitivele mobile – atât Android, cât și iOS – prin exploatarea vulnerabilităților zero-day. Pe lângă tacticile standard de spionaj, cum ar fi colectarea jurnalelor de apeluri și a listelor de aplicații, folosește privilegii root pentru înregistrarea și evaziunea sub acoperire a ecranului. Utilizarea unui binar redenumit „su” sugerează că poate implica o infecție secundară în urma unui compromis inițial.
