LianSpy Mobile Spyware
Принаймні з 2021 року користувачі в Росії стають мішенню раніше незадокументованого посткомпрометованого шпигунського програмного забезпечення Android, відомого як LianSpy. Дослідники з кібербезпеки виявили це зловмисне програмне забезпечення в березні 2024 року. Експерти підкреслили, що воно використовує хмару Yandex, російську хмарну службу, для комунікацій командно-контрольного (C2), що дозволяє їй уникати виділеної інфраструктури та уникати виявлення. LianSpy здатний знімати скрінкасти, вилучати файли користувача та збирати журнали викликів і списки програм.
Спосіб розповсюдження цього шпигунського програмного забезпечення залишається незрозумілим, але дослідники припускають, що воно, ймовірно, розгортається або через невідомий недолік безпеки, або через прямий фізичний доступ до цільового телефону. Програми зі шкідливим програмним забезпеченням маскуються під Alipay або системну службу Android.
Зміст
Як працює шпигунське програмне забезпечення LianSpy?
Після активації LianSpy визначає, чи працює він як системна програма для роботи у фоновому режимі з правами адміністратора. Якщо ні, він запитує широкий спектр дозволів на доступ до контактів, журналів викликів, сповіщень і малювання накладок на екрані.
Шпигунське програмне забезпечення також перевіряє, чи воно виконується в середовищі налагодження, щоб налаштувати конфігурацію, яка зберігається під час перезавантаження. Потім він приховує свій значок від панелі запуску та запускає такі дії, як створення знімків екрана, вилучення даних і оновлення конфігурації, щоб указати типи інформації для захоплення.
У деяких варіантах LianSpy серед інших налаштувань містить опції для збору даних із популярних програм обміну миттєвими повідомленнями в Росії та керування тим, чи запускається зловмисне програмне забезпечення лише під час підключення до Wi-Fi або мобільної мережі.
Щоб оновити конфігурацію, LianSpy кожні 30 секунд шукає файл на Яндекс-диску зловмисника, який відповідає регулярному виразу «^frame_.+.png$». Якщо знайдено, файл завантажується у внутрішній каталог даних програми.
Стелс-можливості програми-шпигуна LianSpy
Зібрані дані шифруються та зберігаються в таблиці бази даних SQL, яка записує тип даних і їх хеш SHA-256. Лише загрозлива особа з відповідним приватним ключем RSA може розшифрувати цю викрадену інформацію.
LianSpy демонструє свою скритність, обходячи функцію індикаторів конфіденційності, представлену в Android 12, яка вимагає, щоб додатки, які запитують дозволи на мікрофон і камеру, відображали значок рядка стану.
Розробникам LianSpy вдалося обійти цей захист, додавши значення приведення до параметра безпечного налаштування Android «icon_blacklist», що запобігає появі значків сповіщень у рядку стану. Крім того, LianSpy приховує сповіщення від фонових служб, які він викликає, використовуючи «NotificationListenerService» для обробки та придушення сповіщень у рядку стану.
Зловмисники все частіше користуються легітимними послугами
Складна функція LianSpy передбачає використання двійкового файлу «su», перейменованого на «mu», для отримання кореневого доступу. Це означає, що зловмисне програмне забезпечення, ймовірно, доставляється через невідомий експлойт або фізичний доступ до пристрою.
LianSpy також підкреслює стелс, реалізуючи односпрямований зв’язок командування та керування (C2), тобто зловмисне програмне забезпечення не отримує вхідних команд. Він використовує Яндекс Диск як для передачі зібраних даних, так і для зберігання команд конфігурації.
Облікові дані для Яндекс Диска оновлюються через жорстко закодовану URL-адресу Pastebin, яка відрізняється для різних варіантів шкідливого ПЗ. Використання законних служб додає додатковий рівень обфускації, ускладнюючи атрибуцію.
LianSpy, що є останньою версією в наборі інструментів шпигунського програмного забезпечення, націлено на мобільні пристрої — як Android, так і iOS, — використовуючи вразливості нульового дня. На додаток до стандартної тактики шпигунства, як-от збір журналів викликів і списків додатків, він використовує привілеї root для прихованого запису екрана та ухилення. Використання перейменованого двійкового файлу «su» свідчить про те, що це може включати вторинне зараження після початкового компромісу.
