ЛианСпи мобилни шпијунски софтвер
Најмање од 2021. године, корисници у Русији су били на мети претходно недокументованог Андроид шпијунског софтвера за посткомпромисно коришћење познатог као ЛианСпи. Истраживачи кибернетичке безбедности открили су овај малвер у марту 2024. Стручњаци су истакли да користи Иандек Цлоуд, руску услугу у облаку, за комуникацију са командом и контролом (Ц2), што му омогућава да избегне наменску инфраструктуру и избегне откривање. ЛианСпи је способан да снима сцреенцасте, ексфилтрира корисничке датотеке и прикупља евиденције позива и листе апликација.
Метод дистрибуције овог шпијунског софтвера остаје нејасан, али истраживачи сугеришу да је вероватно распоређен или кроз непознату безбедносну грешку или директан физички приступ циљном телефону. Апликације са малвером прерушене су у Алипаи или услугу Андроид система.
Преглед садржаја
Како функционише ЛианСпи шпијунски софтвер?
Једном активиран, ЛианСпи утврђује да ли ради као системска апликација да ради у позадини са администраторским привилегијама. Ако није, захтева широк спектар дозвола за приступ контактима, евиденцијама позива, обавештењима и цртању преклопа на екрану.
Шпијунски софтвер такође проверава да ли се извршава у окружењу за отклањање грешака да би подесио конфигурацију која траје током поновног покретања. Затим сакрива своју икону од покретача и покреће активности, као што су прављење снимака екрана, ексфилтрирање података и ажурирање своје конфигурације да би се навели типови информација које треба ухватити.
У неким варијантама, ЛианСпи укључује опције за прикупљање података из популарних апликација за размену тренутних порука у Русији и за контролу да ли се малвер покреће само када је повезан на Ви-Фи или мобилну мрежу, између осталих подешавања.
Да би ажурирао своју конфигурацију, ЛианСпи сваких 30 секунди тражи датотеку на Иандек диску актера претње која одговара регуларном изразу „^фраме_.+.пнг$“. Ако се пронађе, датотека се преузима у интерни директоријум са подацима апликације.
Стеалтх могућности шпијунског софтвера ЛианСпи
Сакупљени подаци се шифрују и чувају у табели СКЛ базе података, која бележи тип података и њихов СХА-256 хеш. Само актер претње са одговарајућим приватним РСА кључем може да дешифрује ове украдене информације.
ЛианСпи демонстрира своју скривеност тако што заобилази функцију индикатора приватности уведену у Андроид 12, која захтева да апликације које захтевају дозволе за микрофон и камеру приказују икону статусне траке.
Програмери ЛианСпи-ја успели су да заобиђу ову заштиту додавањем вредности за пребацивање у параметар безбедног подешавања Андроид-а „ицон_блацклист“, који спречава појављивање икона обавештења у статусној траци. Поред тога, ЛианСпи сакрива обавештења од позадинских услуга које позива користећи 'НотифицатионЛистенерСервице' за обраду и сузбијање обавештења на статусној траци.
Учесници претњи све више користе легитимне услуге
Софистицирана карактеристика ЛианСпи-а укључује коришћење бинарне датотеке 'су', преименоване у 'му', за добијање роот приступа. Ово указује на то да се злонамерни софтвер вероватно испоручује било кроз непознати експлоат или физички приступ уређају.
ЛианСпи такође наглашава прикривеност имплементацијом једносмерне комуникације команде и контроле (Ц2), што значи да малвер не прима долазне команде. Користи Иандек Диск и за пренос прикупљених података и за чување конфигурационих команди.
Акредитиви за Иандек Диск се ажурирају преко тврдо кодираног Пастебин УРЛ-а, који варира између варијанти малвера. Коришћење легитимних услуга додаје додатни слој прикривања, што компликује приписивање.
Као најновији унос у растућем низу алата за шпијунски софтвер, ЛианСпи циља на мобилне уређаје — и Андроид и иОС — искоришћавањем рањивости нултог дана. Поред стандардних тактика шпијунаже као што је прикупљање евиденције позива и листа апликација, користи роот привилегије за тајно снимање екрана и избегавање. Употреба преименоване бинарне „су“ сугерише да може укључити секундарну инфекцију након почетног компромиса.
