LianSpy Mobile Spyware
Mula noong hindi bababa sa 2021, ang mga user sa Russia ay na-target ng dati nang hindi dokumentado na Android post-compromise spyware na kilala bilang LianSpy. Natuklasan ng mga mananaliksik sa cybersecurity ang malware na ito noong Marso 2024. Itinampok ng mga eksperto ang paggamit nito sa Yandex Cloud, isang serbisyo sa cloud ng Russia, para sa mga komunikasyon sa Command-and-Control (C2), na nagbibigay-daan dito upang maiwasan ang isang nakatuong imprastraktura at makaiwas sa pagtuklas. Ang LianSpy ay may kakayahang kumuha ng mga screencast, mag-exfiltrate ng mga file ng user, at mag-harvest ng mga log ng tawag at listahan ng app.
Ang paraan ng pamamahagi ng spyware na ito ay nananatiling hindi malinaw, ngunit iminumungkahi ng mga mananaliksik na ito ay malamang na na-deploy sa pamamagitan ng alinman sa hindi kilalang kakulangan sa seguridad o direktang pisikal na pag-access sa target na telepono. Ang mga malware-laced na application ay disguised bilang Alipay o isang Android system service.
Talaan ng mga Nilalaman
Paano Gumagana ang LianSpy Spyware?
Kapag na-activate na, tinutukoy ng LianSpy kung ito ay tumatakbo bilang isang system app upang gumana sa background na may mga pribilehiyo ng administrator. Kung hindi, humihiling ito ng malawak na hanay ng mga pahintulot na ma-access ang mga contact, log ng tawag, notification, at gumuhit ng mga overlay sa screen.
Sinusuri din ng spyware kung gumagana ito sa isang kapaligiran sa pag-debug upang mag-set up ng configuration na nagpapatuloy sa mga pag-reboot. Pagkatapos ay itinatago nito ang icon nito mula sa launcher at nagti-trigger ng mga aktibidad, tulad ng pagkuha ng mga screenshot, pag-exfiltrate ng data at pag-update ng configuration nito upang tukuyin ang mga uri ng impormasyong kukunan.
Sa ilang variant, kasama sa LianSpy ang mga opsyon para mangalap ng data mula sa mga sikat na application ng instant messaging sa Russia at para makontrol kung tatakbo lang ang malware kapag nakakonekta sa Wi-Fi o sa isang mobile network, bukod sa iba pang mga setting.
Upang i-update ang configuration nito, naghahanap ang LianSpy bawat 30 segundo para sa isang file sa Yandex Disk ng isang threat actor na tumutugma sa regular na expression na '^frame_.+.png$.' Kung natagpuan, ang file ay dina-download sa panloob na direktoryo ng data ng application.
Ang Stealth Capabilities ng LianSpy Spyware
Ang na-harvest na data ay naka-encrypt at naka-imbak sa isang SQL database table, na nagtatala ng uri ng data at ang SHA-256 hash nito. Tanging isang banta na aktor na may kaukulang pribadong RSA key ang makakapag-decrypt ng ninakaw na impormasyong ito.
Ipinakita ng LianSpy ang pagiging stealth nito sa pamamagitan ng pag-iwas sa feature na mga indicator ng privacy na ipinakilala sa Android 12, na nangangailangan ng mga application na humihiling ng mga pahintulot sa mikropono at camera upang magpakita ng icon ng status bar.
Nagawa ng mga developer ng LianSpy na i-bypass ang proteksyong ito sa pamamagitan ng pagdaragdag ng halaga ng cast sa parameter ng Android secure na setting na 'icon_blacklist,' na pumipigil sa mga icon ng notification na lumabas sa status bar. Bukod pa rito, itinatago ng LianSpy ang mga abiso mula sa mga serbisyo sa background na hinihingi nito sa pamamagitan ng paggamit ng 'NotificationListenerService' upang iproseso at sugpuin ang mga notification sa status bar.
Lalong Nakikinabang ang Mga Aktor ng Banta sa Mga Lehitimong Serbisyo
Ang isang sopistikadong tampok ng LianSpy ay kinabibilangan ng paggamit ng 'su' binary, na pinalitan ng pangalan sa 'mu,' upang makakuha ng root access. Ipinapahiwatig nito na ang malware ay malamang na naihatid sa pamamagitan ng alinman sa hindi kilalang pagsasamantala o pisikal na pag-access sa device.
Binibigyang-diin din ng LianSpy ang palihim sa pamamagitan ng pagpapatupad ng unidirectional Command-and-Control (C2) na mga komunikasyon, ibig sabihin ang malware ay hindi tumatanggap ng mga papasok na command. Gumagamit ito ng Yandex Disk para sa parehong pagpapadala ng na-harvest na data at pag-iimbak ng mga command sa pagsasaayos.
Ang mga kredensyal para sa Yandex Disk ay ina-update sa pamamagitan ng isang hard-coded na Pastebin URL, na nag-iiba-iba sa pagitan ng mga variant ng malware. Ang paggamit ng mga lehitimong serbisyo ay nagdaragdag ng karagdagang layer ng obfuscation, na nagpapalubha ng attribution.
Bilang pinakabagong entry sa dumaraming hanay ng mga tool sa spyware, tina-target ng LianSpy ang mga mobile device—parehong Android at iOS—sa pamamagitan ng pagsasamantala sa mga zero-day na kahinaan. Bilang karagdagan sa mga karaniwang taktika ng espionage tulad ng pagkolekta ng mga log ng tawag at mga listahan ng aplikasyon, gumagamit ito ng mga pribilehiyo sa ugat para sa patagong pag-record ng screen at pag-iwas. Ang paggamit ng binary na pinalitan ng pangalan na 'su' ay nagmumungkahi na maaaring may kasamang pangalawang impeksiyon kasunod ng isang paunang kompromiso.
