LianSpy 移动间谍软件

自 2021 年以来，俄罗斯用户就一直受到一种之前未记录的 Android 入侵后间谍软件（称为 LianSpy）的攻击。网络安全研究人员于 2024 年 3 月发现了这种恶意软件。专家强调，它使用俄罗斯云服务 Yandex Cloud 进行命令和控制 (C2) 通信，使其能够避免专用基础设施并逃避检测。LianSpy 能够捕获屏幕录像、窃取用户文件以及收集通话记录和应用程序列表。

这种间谍软件的传播方式尚不清楚，但研究人员认为，它很可能是通过未知的安全漏洞或直接物理访问目标手机来部署的。这些带有恶意软件的应用程序伪装成支付宝或安卓系统服务。

LianSpy 间谍软件如何运作？

一旦激活，LianSpy 会确定它是否作为系统应用程序运行，以管理员权限在后台运行。如果不是，它会请求广泛的权限来访问联系人、通话记录、通知并在屏幕上绘制覆盖图。

该间谍软件还会检查自己是否在调试环境中执行，以设置重启后仍有效的配置。然后，它会在启动器中隐藏其图标并触发各种活动，例如截取屏幕截图、窃取数据以及更新其配置以指定要捕获的信息类型。

在某些变体中，LianSpy 包含从俄罗斯流行的即时通讯应用程序收集数据的选项，以及控制恶意软件是否仅在连接到 Wi-Fi 或移动网络时运行等设置。

为了更新其配置，LianSpy 每 30 秒会在威胁行为者的 Yandex Disk 上搜索一次与正则表达式“^frame_.+.png$”匹配的文件。如果找到，则将该文件下载到应用程序的内部数据目录中。

LianSpy 间谍软件的隐身功能

收集到的数据被加密并存储在 SQL 数据库表中，该表记录了数据类型及其 SHA-256 哈希值。只有拥有相应私钥的威胁行为者才能解密这些被盗信息。

LianSpy 通过绕过 Android 12 中引入的隐私指示器功能来展示其隐秘性，该功能要求请求麦克风和摄像头权限的应用程序显示状态栏图标。

LianSpy 的开发人员设法绕过了这一保护措施，方法是将强制转换值附加到 Android 安全设置参数“icon_blacklist”，从而阻止通知图标出现在状态栏中。此外，LianSpy 通过使用“NotificationListenerService”来处理和抑制状态栏通知，从而隐藏了它调用的后台服务的通知。

威胁行为者越来越多地利用合法服务

LianSpy 的一个复杂功能是使用“su”二进制文件（重命名为“mu”）来获取 root 访问权限。这表明恶意软件可能是通过未知漏洞或对设备的物理访问来传播的。

LianSpy 还强调隐蔽性，通过实施单向命令和控制 (C2) 通信，这意味着恶意软件不会接收传入的命令。它使用 Yandex Disk 传输收集的数据并存储配置命令。

Yandex Disk 的凭证通过硬编码的 Pastebin URL 进行更新，该 URL 因恶意软件变体而异。使用合法服务会增加一层额外的混淆，使归因变得复杂。

作为日益增多的间谍软件工具中的最新成员，LianSpy 通过利用零日漏洞来攻击移动设备（Android 和 iOS）。除了收集通话记录和应用程序列表等标准间谍策略外，它还利用 root 权限进行秘密屏幕录制和规避。使用重命名的“su”二进制文件表明它可能在初始入侵后涉及二次感染。