LianSpy Mobile Spyware
Vsaj od leta 2021 so uporabniki v Rusiji tarča prej nedokumentirane postkompromitirane vohunske programske opreme za Android, znane kot LianSpy. Raziskovalci kibernetske varnosti so to zlonamerno programsko opremo odkrili marca 2024. Strokovnjaki so poudarili njeno uporabo oblaka Yandex, ruske storitve v oblaku, za komunikacije ukazov in nadzora (C2), kar ji omogoča, da se izogne namenski infrastrukturi in izogne zaznavanju. LianSpy je sposoben zajeti posnetke zaslona, odstraniti uporabniške datoteke ter zbirati dnevnike klicev in sezname aplikacij.
Metoda distribucije te vohunske programske opreme ostaja nejasna, vendar raziskovalci domnevajo, da je verjetno nameščena prek neznane varnostne napake ali neposrednega fizičnega dostopa do ciljnega telefona. Aplikacije z zlonamerno programsko opremo so prikrite kot Alipay ali sistemska storitev Android.
Kazalo
Kako deluje vohunska programska oprema LianSpy?
Ko je aktiviran, LianSpy ugotovi, ali se izvaja kot sistemska aplikacija za delovanje v ozadju s skrbniškimi pravicami. Če ne, zahteva široko paleto dovoljenj za dostop do stikov, dnevnikov klicev, obvestil in risanje prekrivk na zaslonu.
Vohunska programska oprema tudi preveri, ali se izvaja v okolju za odpravljanje napak, da nastavi konfiguracijo, ki se obdrži med ponovnimi zagoni. Nato skrije svojo ikono pred zaganjalnikom in sproži dejavnosti, kot je snemanje posnetkov zaslona, ekstrakcija podatkov in posodabljanje konfiguracije, da določi vrste informacij za zajem.
V nekaterih različicah LianSpy med drugimi nastavitvami vključuje možnosti za zbiranje podatkov iz priljubljenih aplikacij za takojšnje sporočanje v Rusiji in nadzor nad tem, ali se zlonamerna programska oprema izvaja samo, ko je povezana z Wi-Fi ali mobilnim omrežjem.
Za posodobitev svoje konfiguracije LianSpy vsakih 30 sekund išče datoteko na disku Yandex povzročitelja grožnje, ki se ujema z regularnim izrazom '^frame_.+.png$.' Če je najdena, se datoteka prenese v notranji podatkovni imenik aplikacije.
Prikrite zmožnosti vohunske programske opreme LianSpy
Zbrani podatki so šifrirani in shranjeni v tabeli baze podatkov SQL, ki beleži vrsto podatkov in njihovo zgoščevanje SHA-256. Samo akter grožnje z ustreznim zasebnim ključem RSA lahko dešifrira te ukradene informacije.
LianSpy dokazuje svojo prikritost tako, da zaobide funkcijo indikatorjev zasebnosti, predstavljeno v sistemu Android 12, ki zahteva, da aplikacije, ki zahtevajo dovoljenja za mikrofon in kamero, prikažejo ikono vrstice stanja.
Razvijalcem LianSpy je uspelo zaobiti to zaščito tako, da so parametru varne nastavitve Androida 'icon_blacklist' dodali cast vrednost, ki preprečuje, da bi se ikone obvestil prikazale v statusni vrstici. Poleg tega LianSpy skrije obvestila storitev v ozadju, ki jih prikliče, z uporabo 'NotificationListenerService' za obdelavo in zatiranje obvestil v vrstici stanja.
Akterji groženj vse pogosteje izkoriščajo zakonite storitve
Prefinjena funkcija LianSpy vključuje uporabo binarne datoteke »su«, preimenovane v »mu«, za pridobitev korenskega dostopa. To pomeni, da je zlonamerna programska oprema verjetno dostavljena prek neznanega izkoriščanja ali fizičnega dostopa do naprave.
LianSpy prav tako poudarja prikritost z izvajanjem enosmerne komunikacije ukazov in nadzora (C2), kar pomeni, da zlonamerna programska oprema ne prejme dohodnih ukazov. Uporablja Yandex Disk za prenos zbranih podatkov in shranjevanje konfiguracijskih ukazov.
Poverilnice za Yandex Disk se posodobijo prek trdo kodiranega URL-ja Pastebin, ki se razlikuje med različicami zlonamerne programske opreme. Uporaba zakonitih storitev doda dodatno plast zamegljenosti, kar oteži pripisovanje.
LianSpy kot najnovejši vnos v rastočem naboru orodij za vohunsko programsko opremo cilja na mobilne naprave – tako Android kot iOS – z izkoriščanjem ranljivosti zero-day. Poleg standardnih taktik vohunjenja, kot je zbiranje dnevnikov klicev in seznamov aplikacij, uporablja korenske pravice za prikrito snemanje zaslona in izogibanje. Uporaba preimenovane dvojiške datoteke 'su' nakazuje, da lahko vključuje sekundarno okužbo po začetni ogrožbi.
