LianSpy Mobile Spyware
Minimálne od roku 2021 sú používatelia v Rusku terčom predtým nezdokumentovaného spywaru pre Android po kompromitácii známeho ako LianSpy. Výskumníci v oblasti kybernetickej bezpečnosti odhalili tento malvér v marci 2024. Odborníci zdôraznili jeho využitie Yandex Cloud, ruskej cloudovej služby, na komunikáciu typu Command-and-Control (C2), čo jej umožňuje vyhnúť sa vyhradenej infraštruktúre a vyhnúť sa detekcii. LianSpy je schopný zachytávať screencasty, exfiltrovať používateľské súbory a zbierať protokoly hovorov a zoznamy aplikácií.
Spôsob distribúcie tohto spywaru zostáva nejasný, ale výskumníci naznačujú, že je pravdepodobne nasadený buď prostredníctvom neznámej bezpečnostnej chyby, alebo priamym fyzickým prístupom k cieľovému telefónu. Aplikácie s malvérom sú maskované ako Alipay alebo systémová služba Android.
Obsah
Ako funguje spyware LianSpy?
Po aktivácii LianSpy určí, či je spustená ako systémová aplikácia na prácu na pozadí s oprávneniami správcu. Ak nie, vyžaduje si širokú škálu povolení na prístup ku kontaktom, protokolom hovorov, upozorneniam a vykresľovaniu prekrytí na obrazovke.
Spyware tiež skontroluje, či sa vykonáva v prostredí ladenia, aby nastavil konfiguráciu, ktorá pretrváva aj po reštarte. Potom skryje svoju ikonu pred spúšťačom a spustí aktivity, ako je vytváranie snímok obrazovky, extrakcia údajov a aktualizácia konfigurácie, aby sa určili typy informácií, ktoré sa majú zachytiť.
V niektorých variantoch LianSpy obsahuje okrem iného možnosti zhromažďovania údajov z populárnych aplikácií na odosielanie okamžitých správ v Rusku a kontroly, či sa malvér spustí iba pri pripojení k Wi-Fi alebo mobilnej sieti.
Na aktualizáciu svojej konfigurácie LianSpy každých 30 sekúnd vyhľadá súbor na disku Yandex Disk aktéra hrozby, ktorý sa zhoduje s regulárnym výrazom '^frame_.+.png$.' Ak sa nájde, súbor sa stiahne do interného dátového adresára aplikácie.
Schopnosti utajenia spywaru LianSpy
Zozbierané dáta sú zašifrované a uložené v SQL databázovej tabuľke, ktorá zaznamenáva typ dát a ich SHA-256 hash. Tieto ukradnuté informácie môže dešifrovať iba aktér hrozby s príslušným súkromným kľúčom RSA.
LianSpy demonštruje svoju tajnosť obchádzaním funkcie indikátorov ochrany osobných údajov zavedenej v systéme Android 12, ktorá vyžaduje, aby aplikácie požadujúce povolenia pre mikrofón a kameru zobrazovali ikonu stavového riadku.
Vývojárom LianSpy sa podarilo túto ochranu obísť pridaním hodnoty odovzdania k parametru zabezpečenia systému Android „icon_blacklist“, ktorý zabraňuje zobrazovaniu ikon upozornení v stavovom riadku. Okrem toho LianSpy skrýva upozornenia zo služieb na pozadí, ktoré vyvoláva, pomocou „NotificationListenerService“ na spracovanie a potlačenie upozornení v stavovom riadku.
Aktéri hrozieb čoraz viac využívajú legitímne služby
Sofistikovaná funkcia LianSpy zahŕňa použitie binárneho súboru 'su' premenovaného na 'mu' na získanie prístupu root. To naznačuje, že malvér je pravdepodobne doručený prostredníctvom neznámeho zneužitia alebo fyzického prístupu k zariadeniu.
LianSpy tiež zdôrazňuje utajenie implementáciou jednosmernej komunikácie Command-and-Control (C2), čo znamená, že malvér neprijíma prichádzajúce príkazy. Používa disk Yandex na prenos zozbieraných údajov a ukladanie konfiguračných príkazov.
Poverenia pre disk Yandex sa aktualizujú prostredníctvom pevne zakódovanej adresy URL Pastebin, ktorá sa líši medzi variantmi škodlivého softvéru. Využívanie legitímnych služieb pridáva ďalšiu vrstvu zahmlievania, čo komplikuje pripisovanie.
LianSpy je najnovším prírastkom v rastúcej škále spywarových nástrojov a zameriava sa na mobilné zariadenia – Android aj iOS – využívaním zraniteľností zero-day. Okrem štandardných špionážnych taktík, ako je zhromažďovanie protokolov hovorov a zoznamov aplikácií, využíva privilégiá root na skryté nahrávanie obrazovky a vyhýbanie sa jej. Použitie premenovaného binárneho súboru „su“ naznačuje, že môže zahŕňať sekundárnu infekciu po počiatočnom kompromise.
