LianSpy మొబైల్ స్పైవేర్

కనీసం 2021 నుండి, రష్యాలోని వినియోగదారులు LianSpy అని పిలువబడే మునుపు నమోదు చేయని Android పోస్ట్-రాజీ స్పైవేర్ ద్వారా లక్ష్యంగా చేసుకున్నారు. సైబర్‌ సెక్యూరిటీ పరిశోధకులు మార్చి 2024లో ఈ మాల్‌వేర్‌ను కనుగొన్నారు. కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌ల కోసం రష్యన్ క్లౌడ్ సర్వీస్ అయిన Yandex క్లౌడ్‌ను ఉపయోగించడాన్ని నిపుణులు హైలైట్ చేశారు, ఇది ప్రత్యేక మౌలిక సదుపాయాలను నివారించడానికి మరియు గుర్తించకుండా తప్పించుకోవడానికి వీలు కల్పిస్తుంది. LianSpy స్క్రీన్‌కాస్ట్‌లను క్యాప్చర్ చేయగలదు, వినియోగదారు ఫైల్‌లను వెలికితీయగలదు మరియు కాల్ లాగ్‌లు మరియు యాప్ జాబితాలను సేకరించగలదు.

ఈ స్పైవేర్ యొక్క పంపిణీ పద్ధతి అస్పష్టంగానే ఉంది, అయితే ఇది తెలియని భద్రతా లోపం లేదా టార్గెట్ ఫోన్‌కి నేరుగా భౌతిక యాక్సెస్ ద్వారా అమలు చేయబడుతుందని పరిశోధకులు సూచిస్తున్నారు. మాల్వేర్-లేస్డ్ అప్లికేషన్‌లు అలిపే లేదా ఆండ్రాయిడ్ సిస్టమ్ సర్వీస్ వలె మారువేషంలో ఉంటాయి.

LianSpy స్పైవేర్ ఎలా పని చేస్తుంది?

యాక్టివేట్ అయిన తర్వాత, అడ్మినిస్ట్రేటర్ అధికారాలతో బ్యాక్‌గ్రౌండ్‌లో ఆపరేట్ చేయడానికి ఇది సిస్టమ్ యాప్‌గా రన్ అవుతుందో లేదో LianSpy నిర్ణయిస్తుంది. కాకపోతే, ఇది పరిచయాలు, కాల్ లాగ్‌లు, నోటిఫికేషన్‌లు మరియు స్క్రీన్‌పై ఓవర్‌లేలను యాక్సెస్ చేయడానికి విస్తృత శ్రేణి అనుమతులను అభ్యర్థిస్తుంది.

స్పైవేర్ రీబూట్‌లలో కొనసాగే కాన్ఫిగరేషన్‌ను సెటప్ చేయడానికి డీబగ్గింగ్ ఎన్విరాన్‌మెంట్‌లో ఎగ్జిక్యూట్ చేస్తుందో లేదో కూడా తనిఖీ చేస్తుంది. ఇది లాంచర్ నుండి దాని చిహ్నాన్ని దాచిపెడుతుంది మరియు స్క్రీన్‌షాట్‌లను తీయడం, డేటాను వెలికితీయడం మరియు సంగ్రహించాల్సిన సమాచార రకాలను పేర్కొనడానికి దాని కాన్ఫిగరేషన్‌ను నవీకరించడం వంటి కార్యకలాపాలను ట్రిగ్గర్ చేస్తుంది.

కొన్ని వేరియంట్‌లలో, LianSpy రష్యాలోని ప్రముఖ ఇన్‌స్టంట్ మెసేజింగ్ అప్లికేషన్‌ల నుండి డేటాను సేకరించడానికి మరియు Wi-Fi లేదా మొబైల్ నెట్‌వర్క్‌కి ఇతర సెట్టింగ్‌లతో కనెక్ట్ అయినప్పుడు మాత్రమే మాల్వేర్ రన్ అవుతుందో లేదో నియంత్రించడానికి ఎంపికలను కలిగి ఉంది.

దాని కాన్ఫిగరేషన్‌ను అప్‌డేట్ చేయడానికి, LianSpy ప్రతి 30 సెకన్లకు ఒక ఫైల్ కోసం బెదిరింపు నటుడి Yandex డిస్క్‌లో శోధిస్తుంది, అది సాధారణ వ్యక్తీకరణ '^frame_.+.png$.' కనుగొనబడితే, ఫైల్ అప్లికేషన్ యొక్క అంతర్గత డేటా డైరెక్టరీకి డౌన్‌లోడ్ చేయబడుతుంది.

LianSpy స్పైవేర్ యొక్క స్టీల్త్ సామర్ధ్యాలు

సేకరించిన డేటా గుప్తీకరించబడింది మరియు SQL డేటాబేస్ పట్టికలో నిల్వ చేయబడుతుంది, ఇది డేటా రకం మరియు దాని SHA-256 హాష్‌ను రికార్డ్ చేస్తుంది. సంబంధిత ప్రైవేట్ RSA కీని కలిగి ఉన్న ముప్పు నటుడు మాత్రమే ఈ దొంగిలించబడిన సమాచారాన్ని డీక్రిప్ట్ చేయగలరు.

Android 12లో ప్రవేశపెట్టిన గోప్యతా సూచికల లక్షణాన్ని తప్పించుకోవడం ద్వారా LianSpy దాని రహస్యాన్ని ప్రదర్శిస్తుంది, దీనికి స్టేటస్ బార్ చిహ్నాన్ని ప్రదర్శించడానికి మైక్రోఫోన్ మరియు కెమెరా అనుమతులను అభ్యర్థించే అప్లికేషన్‌లు అవసరం.

LianSpy డెవలపర్‌లు స్టేటస్ బార్‌లో నోటిఫికేషన్ చిహ్నాలు కనిపించకుండా నిరోధించే Android సురక్షిత సెట్టింగ్ పరామితి 'icon_blacklist'కి తారాగణం విలువను జోడించడం ద్వారా ఈ రక్షణను దాటవేయగలిగారు. అదనంగా, స్టేటస్ బార్ నోటిఫికేషన్‌లను ప్రాసెస్ చేయడానికి మరియు అణచివేయడానికి 'నోటిఫికేషన్ లిస్టెనర్ సర్వీస్'ని ఉపయోగించడం ద్వారా లియన్‌స్పై నేపథ్య సేవల నుండి నోటిఫికేషన్‌లను దాచిపెడుతుంది.

బెదిరింపు నటులు చట్టబద్ధమైన సేవల ప్రయోజనాన్ని ఎక్కువగా తీసుకుంటారు

LianSpy యొక్క అధునాతన లక్షణం రూట్ యాక్సెస్‌ని పొందేందుకు 'su' బైనరీని ఉపయోగించడం, 'mu'గా మార్చబడింది. మాల్వేర్ తెలియని దోపిడీ లేదా పరికరానికి భౌతిక యాక్సెస్ ద్వారా డెలివరీ చేయబడుతుందని ఇది సూచిస్తుంది.

LianSpy ఏకదిశాత్మక కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌లను అమలు చేయడం ద్వారా స్టీల్త్‌ను కూడా నొక్కి చెబుతుంది, అంటే మాల్వేర్ ఇన్‌కమింగ్ ఆదేశాలను స్వీకరించదు. ఇది సేకరించిన డేటాను ప్రసారం చేయడానికి మరియు కాన్ఫిగరేషన్ ఆదేశాలను నిల్వ చేయడానికి Yandex డిస్క్‌ని ఉపయోగిస్తుంది.

Yandex డిస్క్ కోసం ఆధారాలు హార్డ్-కోడెడ్ పేస్ట్‌బిన్ URL ద్వారా నవీకరించబడతాయి, ఇది మాల్వేర్ వేరియంట్‌ల మధ్య మారుతూ ఉంటుంది. చట్టబద్ధమైన సేవలను ఉపయోగించడం వలన అట్రిబ్యూషన్ క్లిష్టతరమైన అస్పష్టత యొక్క అదనపు పొరను జోడిస్తుంది.

పెరుగుతున్న స్పైవేర్ సాధనాల్లో తాజా ప్రవేశం వలె, LianSpy జీరో-డే దుర్బలత్వాలను ఉపయోగించడం ద్వారా మొబైల్ పరికరాలను—Android మరియు iOS రెండింటినీ లక్ష్యంగా చేసుకుంది. కాల్ లాగ్‌లు మరియు అప్లికేషన్ జాబితాలను సేకరించడం వంటి ప్రామాణిక గూఢచర్య వ్యూహాలకు అదనంగా, ఇది రహస్య స్క్రీన్ రికార్డింగ్ మరియు ఎగవేత కోసం రూట్ అధికారాలను ఉపయోగిస్తుంది. పేరు మార్చబడిన 'su' బైనరీని ఉపయోగించడం అనేది ప్రారంభ రాజీ తర్వాత ద్వితీయ సంక్రమణను కలిగి ఉండవచ్చని సూచిస్తుంది.