LianSpy mobil spionprogram
Sedan åtminstone 2021 har användare i Ryssland varit måltavla av ett tidigare odokumenterat Android-spionprogram efter kompromiss som kallas LianSpy. Cybersäkerhetsforskare upptäckte denna skadliga programvara i mars 2024. Experter lyfte fram dess användning av Yandex Cloud, en rysk molntjänst, för Command-and-Control (C2)-kommunikation, vilket gör det möjligt för den att undvika en dedikerad infrastruktur och undvika upptäckt. LianSpy kan fånga screencasts, exfiltrera användarfiler och samla in samtalsloggar och applistor.
Distributionsmetoden för detta spionprogram är fortfarande oklart, men forskare föreslår att det sannolikt distribueras genom antingen ett okänt säkerhetsbrist eller direkt fysisk åtkomst till måltelefonen. De skadliga programmen är förklädda som Alipay eller en Android-systemtjänst.
Innehållsförteckning
Hur fungerar LianSpy Spyware?
När den väl har aktiverats avgör LianSpy om den körs som en systemapp för att fungera i bakgrunden med administratörsbehörighet. Om inte, begär den ett brett utbud av behörigheter för att komma åt kontakter, samtalsloggar, aviseringar och rita överlägg på skärmen.
Spionprogrammet kontrollerar också om det körs i en felsökningsmiljö för att ställa in en konfiguration som kvarstår vid omstarter. Den döljer sedan sin ikon från startprogrammet och utlöser aktiviteter, som att ta skärmdumpar, exfiltrera data och uppdatera sin konfiguration för att specificera vilken typ av information som ska fångas.
I vissa varianter innehåller LianSpy alternativ för att samla in data från populära snabbmeddelandeapplikationer i Ryssland och för att kontrollera om skadlig programvara endast körs när den är ansluten till Wi-Fi eller ett mobilt nätverk, bland andra inställningar.
För att uppdatera sin konfiguration söker LianSpy var 30:e sekund efter en fil på en hotaktörs Yandex-disk som matchar det reguljära uttrycket '^frame_.+.png$.' Om den hittas laddas filen ned till programmets interna datakatalog.
Stealth-förmågan hos LianSpy-spionprogrammet
Den insamlade informationen krypteras och lagras i en SQL-databastabell, som registrerar typen av data och dess SHA-256-hash. Endast en hotaktör med motsvarande privata RSA-nyckel kan dekryptera denna stulna information.
LianSpy demonstrerar sin smyghet genom att kringgå funktionen för sekretessindikatorer som introducerades i Android 12, vilket kräver att applikationer som begär mikrofon- och kamerabehörighet visar en statusfältsikon.
Utvecklarna av LianSpy har lyckats kringgå detta skydd genom att lägga till ett cast-värde till den säkra inställningsparametern för Android 'icon_blacklist', som förhindrar att meddelandeikoner visas i statusfältet. Dessutom döljer LianSpy meddelanden från bakgrundstjänster som den anropar genom att använda 'NotificationListenerService' för att bearbeta och undertrycka statusfältsmeddelanden.
Hotaktörer drar i allt högre grad fördel av legitima tjänster
En sofistikerad funktion hos LianSpy innebär att man använder binären 'su', omdöpt till 'mu', för att få root-åtkomst. Detta indikerar att skadlig programvara sannolikt levereras genom antingen en okänd exploatering eller fysisk åtkomst till enheten.
LianSpy betonar också smyg genom att implementera enkelriktad Command-and-Control-kommunikation (C2), vilket innebär att skadlig programvara inte tar emot inkommande kommandon. Den använder Yandex Disk för att både överföra insamlad data och lagra konfigurationskommandon.
Autentiseringsuppgifter för Yandex Disk uppdateras via en hårdkodad Pastebin-URL, som varierar mellan olika skadliga varianter. Att använda legitima tjänster lägger till ett extra lager av förvirring, vilket komplicerar tillskrivningen.
Som det senaste inlägget i ett växande utbud av spionprogramverktyg, riktar LianSpy sig mot mobila enheter – både Android och iOS – genom att utnyttja nolldagssårbarheter. Förutom vanliga spionagetaktik som att samla in samtalsloggar och applikationslistor, använder den root-privilegier för hemlig skärminspelning och undanflykt. Användningen av en omdöpt "su"-binär antyder att det kan innebära en sekundär infektion efter en initial kompromiss.
