LianSpy สปายแวร์มือถือ
ตั้งแต่ปี 2021 เป็นอย่างน้อย ผู้ใช้ในรัสเซียตกเป็นเป้าหมายของสปายแวร์หลังการบุกรุกของ Android ที่ไม่มีเอกสารซึ่งก่อนหน้านี้เรียกว่า LianSpy นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์นี้ในเดือนมีนาคม 2024 ผู้เชี่ยวชาญเน้นย้ำถึงการใช้ Yandex Cloud ซึ่งเป็นบริการคลาวด์ของรัสเซีย สำหรับการสื่อสารแบบ Command-and-Control (C2) ทำให้สามารถหลีกเลี่ยงโครงสร้างพื้นฐานเฉพาะและหลบเลี่ยงการตรวจจับได้ LianSpy สามารถจับภาพหน้าจอ กรองไฟล์ผู้ใช้ และบันทึกการโทรและรายการแอป
วิธีการเผยแพร่สปายแวร์นี้ยังไม่ชัดเจน แต่นักวิจัยแนะนำว่ามีแนวโน้มที่จะปรับใช้ผ่านข้อบกพร่องด้านความปลอดภัยที่ไม่รู้จักหรือการเข้าถึงทางกายภาพโดยตรงไปยังโทรศัพท์เป้าหมาย แอปพลิเคชันที่ติดมัลแวร์ปลอมแปลงเป็น Alipay หรือบริการระบบ Android
สารบัญ
สปายแวร์ LianSpy ทำงานอย่างไร?
เมื่อเปิดใช้งาน LianSpy จะพิจารณาว่า LianSpy ทำงานเป็นแอประบบเพื่อทำงานในเบื้องหลังด้วยสิทธิ์ของผู้ดูแลระบบหรือไม่ หากไม่เป็นเช่นนั้น ระบบจะขอสิทธิ์ที่หลากหลายเพื่อเข้าถึงรายชื่อติดต่อ บันทึกการโทร การแจ้งเตือน และวาดภาพซ้อนทับบนหน้าจอ
สปายแวร์ยังตรวจสอบว่ากำลังดำเนินการในสภาพแวดล้อมการแก้ไขจุดบกพร่องหรือไม่ เพื่อตั้งค่าคอนฟิกที่คงอยู่ตลอดการรีบูต จากนั้นจะซ่อนไอคอนจากตัวเรียกใช้งานและเรียกใช้กิจกรรมต่างๆ เช่น การจับภาพหน้าจอ การกรองข้อมูล และการอัปเดตการกำหนดค่าเพื่อระบุประเภทของข้อมูลที่จะจับภาพ
ในบางรูปแบบ LianSpy มีตัวเลือกในการรวบรวมข้อมูลจากแอปพลิเคชันส่งข้อความโต้ตอบแบบทันทียอดนิยมในรัสเซีย และควบคุมว่ามัลแวร์จะทำงานเมื่อเชื่อมต่อกับ Wi-Fi หรือเครือข่ายมือถือเท่านั้น รวมถึงการตั้งค่าอื่น ๆ
หากต้องการอัปเดตการกำหนดค่า LianSpy จะค้นหาไฟล์บน Yandex Disk ของนักแสดงภัยคุกคามที่ตรงกับนิพจน์ทั่วไป '^frame_.+.png$' ทุก ๆ 30 วินาที หากพบ ไฟล์จะถูกดาวน์โหลดไปยังไดเร็กทอรีข้อมูลภายในของแอปพลิเคชัน
ความสามารถในการซ่อนตัวของสปายแวร์ LianSpy
ข้อมูลที่เก็บเกี่ยวได้รับการเข้ารหัสและจัดเก็บไว้ในตารางฐานข้อมูล SQL ซึ่งจะบันทึกประเภทของข้อมูลและแฮช SHA-256 มีเพียงผู้คุกคามที่มีคีย์ RSA ส่วนตัวที่เกี่ยวข้องเท่านั้นที่สามารถถอดรหัสข้อมูลที่ถูกขโมยนี้ได้
LianSpy สาธิตการซ่อนตัวด้วยการหลีกเลี่ยงฟีเจอร์ตัวบ่งชี้ความเป็นส่วนตัวที่เปิดตัวใน Android 12 ซึ่งต้องใช้แอปพลิเคชันที่ขอสิทธิ์เข้าถึงไมโครโฟนและกล้องเพื่อแสดงไอคอนแถบสถานะ
นักพัฒนาของ LianSpy สามารถเลี่ยงการป้องกันนี้ได้โดยการผนวกค่าการส่งเข้ากับพารามิเตอร์การตั้งค่าความปลอดภัยของ Android 'icon_blacklist' ซึ่งจะป้องกันไม่ให้ไอคอนการแจ้งเตือนปรากฏในแถบสถานะ นอกจากนี้ LianSpy ยังซ่อนการแจ้งเตือนจากบริการพื้นหลังที่เรียกใช้โดยใช้ 'NotificationListenerService' เพื่อประมวลผลและระงับการแจ้งเตือนบนแถบสถานะ
ผู้คุกคามใช้ประโยชน์จากบริการที่ถูกกฎหมายมากขึ้น
คุณลักษณะที่ซับซ้อนของ LianSpy เกี่ยวข้องกับการใช้ไบนารี 'su' ซึ่งเปลี่ยนชื่อเป็น 'mu' เพื่อเข้าถึงรูท สิ่งนี้บ่งชี้ว่ามัลแวร์น่าจะถูกส่งผ่านการแสวงหาประโยชน์ที่ไม่รู้จักหรือการเข้าถึงอุปกรณ์ทางกายภาพ
LianSpy ยังเน้นการซ่อนตัวด้วยการใช้การสื่อสาร Command-and-Control (C2) แบบทิศทางเดียว ซึ่งหมายความว่ามัลแวร์จะไม่ได้รับคำสั่งที่เข้ามา ใช้ Yandex Disk เพื่อส่งข้อมูลที่เก็บเกี่ยวและจัดเก็บคำสั่งการกำหนดค่า
ข้อมูลรับรองสำหรับ Yandex Disk ได้รับการอัปเดตผ่าน URL ของ Pastebin แบบฮาร์ดโค้ด ซึ่งจะแตกต่างกันไปตามสายพันธุ์ของมัลแวร์ การใช้บริการที่ถูกต้องตามกฎหมายจะเพิ่มความยุ่งยากอีกชั้นหนึ่ง และทำให้การระบุแหล่งที่มามีความซับซ้อน
ในฐานะรายการล่าสุดในกลุ่มเครื่องมือสปายแวร์ที่กำลังเติบโต LianSpy กำหนดเป้าหมายไปที่อุปกรณ์มือถือทั้ง Android และ iOS โดยใช้ประโยชน์จากช่องโหว่แบบซีโรเดย์ นอกเหนือจากกลยุทธ์การจารกรรมมาตรฐาน เช่น การรวบรวมบันทึกการโทรและรายการแอปพลิเคชันแล้ว ยังใช้สิทธิ์รูทสำหรับการบันทึกหน้าจอแอบแฝงและการหลีกเลี่ยง การใช้ไบนารี่ที่เปลี่ยนชื่อเป็น 'su' บ่งชี้ว่าอาจเกี่ยวข้องกับการติดเชื้อทุติยภูมิภายหลังการประนีประนอมครั้งแรก
