LianSpy Mobil Casus Yazılım
En az 2021'den bu yana Rusya'daki kullanıcılar, LianSpy olarak bilinen, daha önce belgelenmemiş bir Android güvenlik ihlali sonrası casus yazılımının hedefi oluyor. Siber güvenlik araştırmacıları bu kötü amaçlı yazılımı Mart 2024'te ortaya çıkardı. Uzmanlar, Komuta ve Kontrol (C2) iletişimleri için bir Rus bulut hizmeti olan Yandex Cloud'u kullandığını ve bunun özel bir altyapıdan kaçınmasına ve tespitten kaçmasına olanak sağladığını vurguladı. LianSpy, ekran kayıtlarını yakalama, kullanıcı dosyalarını dışarı çıkarma ve çağrı kayıtlarını ve uygulama listelerini toplama yeteneğine sahiptir.
Bu casus yazılımın dağıtım yöntemi belirsizliğini koruyor ancak araştırmacılar, bunun muhtemelen bilinmeyen bir güvenlik açığı veya hedef telefona doğrudan fiziksel erişim yoluyla dağıtıldığını öne sürüyor. Kötü amaçlı yazılım içeren uygulamalar, Alipay veya bir Android sistem hizmeti olarak gizleniyor.
İçindekiler
LianSpy Casus Yazılımı Nasıl Çalışır?
LianSpy etkinleştirildikten sonra arka planda yönetici ayrıcalıklarıyla çalışacak bir sistem uygulaması olarak çalışıp çalışmadığını belirler. Değilse, kişilere, çağrı kayıtlarına, bildirimlere ve ekrandaki çizim katmanlarına erişmek için geniş bir yelpazede izinler ister.
Casus yazılım ayrıca, yeniden başlatmalarda kalıcı olan bir yapılandırma oluşturmak için hata ayıklama ortamında yürütülüp yürütülmediğini de kontrol eder. Daha sonra simgesini başlatıcıdan gizler ve ekran görüntüsü alma, verileri dışarı çıkarma ve yakalanacak bilgi türlerini belirtmek için yapılandırmasını güncelleme gibi etkinlikleri tetikler.
Bazı varyantlarda LianSpy, diğer ayarların yanı sıra Rusya'daki popüler anlık mesajlaşma uygulamalarından veri toplama ve kötü amaçlı yazılımın yalnızca Wi-Fi'ye veya mobil ağa bağlanıldığında çalışıp çalışmadığını kontrol etme seçeneklerini içerir.
LianSpy, yapılandırmasını güncellemek için her 30 saniyede bir tehdit aktörünün Yandex Diskinde '^frame_.+.png$' normal ifadesiyle eşleşen bir dosya arar. Bulunursa dosya uygulamanın dahili veri dizinine indirilir.
LianSpy Casus Yazılımının Gizlilik Yetenekleri
Toplanan veriler şifrelenir ve veri türünü ve SHA-256 karmasını kaydeden bir SQL veritabanı tablosunda saklanır. Yalnızca karşılık gelen özel RSA anahtarına sahip bir tehdit aktörü bu çalınan bilginin şifresini çözebilir.
LianSpy, Android 12'de sunulan ve uygulamaların durum çubuğu simgesi görüntülemek için mikrofon ve kamera izinleri talep etmesini gerektiren gizlilik göstergeleri özelliğini atlatarak gizliliğini gösteriyor.
LianSpy geliştiricileri, Android güvenli ayar parametresi 'icon_blacklist'e bildirim simgelerinin durum çubuğunda görünmesini engelleyen bir dönüştürme değeri ekleyerek bu korumayı atlamayı başardılar. Ek olarak LianSpy, durum çubuğu bildirimlerini işlemek ve bastırmak için 'NotificationListenerService'i kullanarak çağırdığı arka plan hizmetlerinden gelen bildirimleri gizler.
Tehdit Aktörleri Meşru Hizmetlerden Giderek Daha Fazla Yararlanıyor
LianSpy'ın gelişmiş bir özelliği, kök erişimi elde etmek için 'mu' olarak yeniden adlandırılan 'su' ikili dosyasının kullanılmasını içerir. Bu, kötü amaçlı yazılımın muhtemelen bilinmeyen bir istismar veya cihaza fiziksel erişim yoluyla bulaştığını gösterir.
LianSpy ayrıca tek yönlü Komuta ve Kontrol (C2) iletişimlerini uygulayarak gizliliği vurgular; bu, kötü amaçlı yazılımın gelen komutları almadığı anlamına gelir. Hem toplanan verileri iletmek hem de yapılandırma komutlarını depolamak için Yandex Disk'i kullanır.
Yandex Disk'in kimlik bilgileri, kötü amaçlı yazılım türlerine göre değişen, sabit kodlu bir Pastebin URL'si aracılığıyla güncellenir. Meşru hizmetlerin kullanılması, ilave bir şaşırtma katmanı ekleyerek atıf yapmayı karmaşık hale getirir.
Büyüyen casus yazılım araçları dizisinin en son üyesi olan LianSpy, sıfır gün güvenlik açıklarından yararlanarak hem Android hem de iOS mobil cihazları hedefler. Arama kayıtlarını ve uygulama listelerini toplamak gibi standart casusluk taktiklerine ek olarak, gizli ekran kaydı ve kaçırma için kök ayrıcalıklarını kullanır. Yeniden adlandırılan 'su' ikili dosyasının kullanılması, bunun ilk bir uzlaşmanın ardından ikincil bir enfeksiyon içerebileceğini gösteriyor.
