LianSpy Мобильное шпионское ПО
По крайней мере с 2021 года пользователи в России подвергались атакам ранее недокументированного шпионского ПО Android, известного как LianSpy. Исследователи по кибербезопасности обнаружили эту вредоносную программу в марте 2024 года. Эксперты подчеркнули, что она использует Yandex Cloud, российский облачный сервис, для связи Command-and-Control (C2), что позволяет ей обходить выделенную инфраструктуру и избегать обнаружения. LianSpy способен захватывать скринкасты, извлекать пользовательские файлы и собирать журналы вызовов и списки приложений.
Метод распространения этого шпионского ПО остается неясным, но исследователи предполагают, что оно, вероятно, внедряется либо через неизвестную уязвимость безопасности, либо через прямой физический доступ к целевому телефону. Вредоносные приложения маскируются под Alipay или системную службу Android.
Оглавление
Как работает шпионская программа LianSpy?
После активации LianSpy определяет, запущено ли оно как системное приложение для работы в фоновом режиме с правами администратора. Если нет, оно запрашивает широкий спектр разрешений для доступа к контактам, журналам вызовов, уведомлениям и рисованию наложений на экране.
Шпионское ПО также проверяет, выполняется ли оно в среде отладки, чтобы настроить конфигурацию, которая сохраняется при перезагрузках. Затем оно скрывает свой значок из средства запуска и запускает действия, такие как создание снимков экрана, извлечение данных и обновление своей конфигурации для указания типов информации для захвата.
В некоторых вариантах LianSpy, помимо прочих настроек, предусмотрены опции сбора данных из популярных в России приложений для обмена мгновенными сообщениями, а также возможность контролировать запуск вредоносного ПО только при подключении к Wi-Fi или мобильной сети.
Для обновления своей конфигурации LianSpy каждые 30 секунд ищет на Яндекс-диске злоумышленника файл, соответствующий регулярному выражению «^frame_.+.png$». Если файл найден, он загружается во внутренний каталог данных приложения.
Возможности скрытности шпионского ПО LianSpy
Собранные данные шифруются и сохраняются в таблице базы данных SQL, которая регистрирует тип данных и их хэш SHA-256. Только злоумышленник с соответствующим закрытым ключом RSA может расшифровать эту украденную информацию.
LianSpy демонстрирует свою скрытность, обходя функцию индикаторов конфиденциальности, представленную в Android 12, которая требует, чтобы приложения, запрашивающие разрешения на использование микрофона и камеры, отображали значок в строке состояния.
Разработчики LianSpy сумели обойти эту защиту, добавив значение приведения к параметру безопасной настройки Android 'icon_blacklist,' что предотвращает появление значков уведомлений в строке состояния. Кроме того, LianSpy скрывает уведомления от фоновых служб, которые он вызывает, используя 'NotificationListenerService' для обработки и подавления уведомлений строки состояния.
Злоумышленники все чаще пользуются легальными услугами
Сложная функция LianSpy предполагает использование двоичного файла «su», переименованного в «mu», для получения root-доступа. Это указывает на то, что вредоносное ПО, скорее всего, доставлено либо посредством неизвестного эксплойта, либо посредством физического доступа к устройству.
LianSpy также делает упор на скрытность, реализуя однонаправленную связь командования и контроля (C2), что означает, что вредоносное ПО не получает входящие команды. Он использует Яндекс Диск как для передачи собранных данных, так и для хранения команд конфигурации.
Учетные данные для Яндекс Диска обновляются через жестко закодированный URL-адрес Pastebin, который варьируется в зависимости от варианта вредоносного ПО. Использование законных сервисов добавляет дополнительный уровень путаницы, усложняя атрибуцию.
Являясь новейшим продуктом в растущем наборе шпионских инструментов, LianSpy нацелен на мобильные устройства — как Android, так и iOS — путем использования уязвимостей нулевого дня. В дополнение к стандартным тактикам шпионажа, таким как сбор журналов вызовов и списков приложений, он использует привилегии root для скрытой записи экрана и уклонения от него. Использование переименованного двоичного файла «su» предполагает, что это может быть связано с вторичным заражением после первоначального взлома.
