LianSpy Mobile Spyware
Që nga të paktën 2021, përdoruesit në Rusi janë shënjestruar nga një spiun spiun i padokumentuar më parë pas kompromisit Android i njohur si LianSpy. Studiuesit e sigurisë kibernetike zbuluan këtë malware në mars 2024. Ekspertët theksuan përdorimin e tij të Yandex Cloud, një shërbim rus cloud, për komunikimet Command-and-Control (C2), duke i mundësuar atij të shmangë një infrastrukturë të dedikuar dhe të shmangë zbulimin. LianSpy është në gjendje të kapë ekranet, të ekfiltrojë skedarët e përdoruesve dhe të mbledhë regjistrat e thirrjeve dhe listat e aplikacioneve.
Metoda e shpërndarjes së këtij spyware mbetet e paqartë, por studiuesit sugjerojnë se ka të ngjarë të vendoset ose përmes një defekti të panjohur sigurie ose qasjes fizike të drejtpërdrejtë në telefonin e synuar. Aplikacionet e lidhura me malware janë maskuar si Alipay ose një shërbim i sistemit Android.
Tabela e Përmbajtjes
Si funksionon LianSpy Spyware?
Pasi të aktivizohet, LianSpy përcakton nëse po funksionon si një aplikacion sistemi për të funksionuar në sfond me privilegje administratori. Nëse jo, ai kërkon një gamë të gjerë lejesh për të aksesuar kontaktet, regjistrat e thirrjeve, njoftimet dhe për të vizatuar mbivendosje në ekran.
Spyware gjithashtu kontrollon nëse është duke u ekzekutuar në një mjedis korrigjimi për të vendosur një konfigurim që vazhdon gjatë rinisjes. Më pas fsheh ikonën e tij nga lëshuesi dhe aktivizon aktivitete, të tilla si marrja e pamjeve të ekranit, nxjerrja e të dhënave dhe përditësimi i konfigurimit të tij për të specifikuar llojet e informacionit që do të kapet.
Në disa variante, LianSpy përfshin opsione për të mbledhur të dhëna nga aplikacionet e njohura të mesazheve të çastit në Rusi dhe për të kontrolluar nëse malware funksionon vetëm kur është i lidhur me Wi-Fi ose një rrjet celular, midis cilësimeve të tjera.
Për të përditësuar konfigurimin e tij, LianSpy kërkon çdo 30 sekonda për një skedar në diskun Yandex të një aktori kërcënimi që përputhet me shprehjen e rregullt '^frame_.+.png$.' Nëse gjendet, skedari shkarkohet në drejtorinë e brendshme të të dhënave të aplikacionit.
Aftësitë e fshehta të Spyware-it LianSpy
Të dhënat e mbledhura kodohen dhe ruhen në një tabelë të bazës së të dhënave SQL, e cila regjistron llojin e të dhënave dhe hash-in e tyre SHA-256. Vetëm një aktor kërcënimi me çelësin përkatës privat RSA mund të deshifrojë këtë informacion të vjedhur.
LianSpy demonstron fshehtësinë e tij duke anashkaluar veçorinë e treguesve të privatësisë të prezantuar në Android 12, i cili kërkon që aplikacionet që kërkojnë leje për mikrofonin dhe kamerën të shfaqin një ikonë të shiritit të statusit.
Zhvilluesit e LianSpy kanë arritur ta anashkalojnë këtë mbrojtje duke shtuar një vlerë të transmetimit në parametrin e cilësimit të sigurt të Android 'icon_blacklist', i cili parandalon që ikonat e njoftimeve të shfaqen në shiritin e statusit. Për më tepër, LianSpy fsheh njoftimet nga shërbimet e sfondit që thërret duke përdorur 'NotificationListenerService' për të përpunuar dhe shtypur njoftimet e shiritit të statusit.
Aktorët e kërcënimit gjithnjë e më shumë përfitojnë nga shërbimet legjitime
Një veçori e sofistikuar e LianSpy përfshin përdorimin e binarit 'su', të riemërtuar në 'mu', për të fituar akses në rrënjë. Kjo tregon se malware ka të ngjarë të dorëzohet ose nëpërmjet një shfrytëzimi të panjohur ose nëpërmjet aksesit fizik në pajisje.
LianSpy gjithashtu thekson fshehtësinë duke zbatuar komunikime të njëanshme Command-and-Control (C2), që do të thotë se malware nuk merr komanda hyrëse. Ai përdor Yandex Disk për transmetimin e të dhënave të mbledhura dhe ruajtjen e komandave të konfigurimit.
Kredencialet për Yandex Disk përditësohen nëpërmjet një URL të koduar të Pastebinit, e cila ndryshon midis varianteve të malware. Përdorimi i shërbimeve legjitime shton një shtresë shtesë të turbullimit, duke e komplikuar atribuimin.
Si hyrja më e fundit në një grup në rritje mjetesh spyware, LianSpy synon pajisjet celulare - si Android ashtu edhe iOS - duke shfrytëzuar dobësitë e ditës zero. Përveç taktikave standarde të spiunazhit si mbledhja e regjistrave të thirrjeve dhe listave të aplikacioneve, ai përdor privilegje rrënjësore për regjistrimin e fshehtë të ekranit dhe evazion. Përdorimi i një binar të riemërtuar 'su' sugjeron se mund të përfshijë një infeksion dytësor pas një kompromisi fillestar.
