Phần mềm gián điệp di động LianSpy
Kể từ ít nhất năm 2021, người dùng ở Nga đã bị nhắm mục tiêu bởi một phần mềm gián điệp Android sau khi xâm phạm trước đây chưa được ghi chép lại có tên là LianSpy. Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại này vào tháng 3 năm 2024. Các chuyên gia đã nhấn mạnh việc phần mềm này sử dụng Yandex Cloud, một dịch vụ đám mây của Nga, để liên lạc Chỉ huy và Kiểm soát (C2), cho phép phần mềm này tránh được cơ sở hạ tầng chuyên dụng và tránh bị phát hiện. LianSpy có khả năng ghi lại các bản ghi màn hình, đánh cắp các tệp của người dùng và thu thập nhật ký cuộc gọi và danh sách ứng dụng.
Phương pháp phân phối phần mềm gián điệp này vẫn chưa rõ ràng, nhưng các nhà nghiên cứu cho rằng nó có khả năng được triển khai thông qua một lỗ hổng bảo mật chưa xác định hoặc truy cập vật lý trực tiếp vào điện thoại mục tiêu. Các ứng dụng chứa phần mềm độc hại được ngụy trang thành Alipay hoặc dịch vụ hệ thống Android.
Mục lục
Phần mềm gián điệp LianSpy hoạt động như thế nào?
Sau khi được kích hoạt, LianSpy xác định xem nó có đang chạy như một ứng dụng hệ thống để hoạt động ở chế độ nền với quyền quản trị viên hay không. Nếu không, nó sẽ yêu cầu nhiều quyền để truy cập danh bạ, nhật ký cuộc gọi, thông báo và vẽ lớp phủ trên màn hình.
Phần mềm gián điệp cũng kiểm tra xem nó có đang thực thi trong môi trường gỡ lỗi hay không để thiết lập cấu hình tồn tại qua các lần khởi động lại. Sau đó, nó ẩn biểu tượng của mình khỏi trình khởi chạy và kích hoạt các hoạt động, chẳng hạn như chụp ảnh màn hình, đánh cắp dữ liệu và cập nhật cấu hình của nó để chỉ định các loại thông tin cần nắm bắt.
Ở một số biến thể, LianSpy bao gồm các tùy chọn để thu thập dữ liệu từ các ứng dụng nhắn tin tức thời phổ biến ở Nga và kiểm soát xem phần mềm độc hại chỉ chạy khi được kết nối với Wi-Fi hay mạng di động, cùng với các cài đặt khác.
Để cập nhật cấu hình, LianSpy sẽ tìm kiếm cứ mỗi 30 giây một tệp trên Yandex Disk của tác nhân đe dọa khớp với biểu thức chính quy '^frame_.+.png$'. Nếu tìm thấy, tệp sẽ được tải xuống thư mục dữ liệu nội bộ của ứng dụng.
Khả năng tàng hình của phần mềm gián điệp LianSpy
Dữ liệu thu thập được sẽ được mã hóa và lưu trữ trong bảng cơ sở dữ liệu SQL, bảng này ghi lại loại dữ liệu và hàm băm SHA-256 của dữ liệu. Chỉ có tác nhân đe dọa có khóa RSA riêng tương ứng mới có thể giải mã thông tin bị đánh cắp này.
LianSpy chứng minh khả năng tàng hình của mình bằng cách vượt qua tính năng chỉ báo quyền riêng tư được giới thiệu trong Android 12, tính năng này yêu cầu các ứng dụng yêu cầu quyền sử dụng micrô và camera phải hiển thị biểu tượng trên thanh trạng thái.
Các nhà phát triển LianSpy đã xoay sở để vượt qua sự bảo vệ này bằng cách thêm giá trị ép kiểu vào tham số cài đặt bảo mật Android 'icon_blacklist', ngăn không cho biểu tượng thông báo xuất hiện trên thanh trạng thái. Ngoài ra, LianSpy ẩn thông báo khỏi các dịch vụ nền mà nó gọi bằng cách sử dụng 'NotificationListenerService' để xử lý và ngăn chặn thông báo trên thanh trạng thái.
Các tác nhân đe dọa ngày càng tận dụng các dịch vụ hợp pháp
Một tính năng phức tạp của LianSpy liên quan đến việc sử dụng nhị phân 'su', được đổi tên thành 'mu' để có quyền truy cập root. Điều này cho thấy phần mềm độc hại có thể được phân phối thông qua cách khai thác không xác định hoặc quyền truy cập vật lý vào thiết bị.
LianSpy cũng nhấn mạnh khả năng tàng hình bằng cách triển khai liên lạc Lệnh và Kiểm soát (C2) một chiều, nghĩa là phần mềm độc hại không nhận được lệnh đến. Nó sử dụng Yandex Disk để vừa truyền dữ liệu đã thu thập vừa lưu trữ các lệnh cấu hình.
Thông tin xác thực cho Yandex Disk được cập nhật thông qua URL Pastebin được mã hóa cứng, URL này khác nhau giữa các biến thể phần mềm độc hại. Việc sử dụng các dịch vụ hợp pháp sẽ tạo thêm một lớp che giấu, làm phức tạp thêm việc phân bổ.
Là mục mới nhất trong một loạt các công cụ phần mềm gián điệp ngày càng phát triển, LianSpy nhắm mục tiêu vào các thiết bị di động—cả Android và iOS—bằng cách khai thác các lỗ hổng zero-day. Ngoài các chiến thuật gián điệp tiêu chuẩn như thu thập nhật ký cuộc gọi và danh sách ứng dụng, nó còn sử dụng quyền root để ghi lại và trốn tránh màn hình bí mật. Việc sử dụng nhị phân 'su' được đổi tên cho thấy nó có thể liên quan đến sự lây nhiễm thứ cấp sau sự xâm phạm ban đầu.
