LianSpy 行動間諜軟體

至少自 2021 年起，俄羅斯用戶就成為了一種名為 LianSpy 的先前未記錄的 Android 入侵後間諜軟體的目標。網路安全研究人員於 2024 年 3 月發現了該惡意軟體。 LianSpy 能夠擷取截圖影片、竊取使用者檔案以及取得通話日誌和應用程式清單。

該間諜軟體的分發方法尚不清楚，但研究人員表示，它可能是透過未知的安全漏洞或直接實際存取目標手機來部署的。帶有惡意軟體的應用程式偽裝成支付寶或 Android 系統服務。

LianSpy 間諜軟體如何運作？

啟動後，LianSpy 會確定它是否作為系統應用程式運行，以便以管理員權限在背景運行。如果沒有，它會請求廣泛的權限來存取聯絡人、通話記錄、通知以及在螢幕上繪製覆蓋圖。

間諜軟體也會檢查它是否在偵錯環境中執行，以設定在重新啟動後仍保留的配置。然後，它會從啟動器中隱藏其圖示並觸發活動，例如截取螢幕截圖、竊取資料和更新其配置以指定要擷取的資訊類型。

在某些變體中，LianSpy 包含從俄羅斯流行的即時通訊應用程式收集資料的選項，以及控制惡意軟體是否僅在連接到 Wi-Fi 或行動網路等設定時運行的選項。

為了更新其配置，LianSpy 每 30 秒搜尋一次威脅參與者的 Yandex 磁碟上與正規表示式「^frame_.+.png$」相符的檔案。如果找到，該檔案將下載到應用程式的內部資料目錄。

LianSpy間諜軟體的隱密能力

所取得的資料被加密並儲存在 SQL 資料庫表中，該表記錄資料類型及其 SHA-256 雜湊值。只有擁有相應 RSA 私鑰的威脅行為者才能解密此被盜資訊。

LianSpy 透過規避 Android 12 中引入的隱私指示器功能來展示其隱密性，該功能要求應用程式請求麥克風和攝影機權限才能顯示狀態列圖示。

LianSpy 的開發人員已成功透過向 Android 安全性設定參數「icon_blacklist」附加強制轉換值來繞過此保護，從而防止通知圖示出現在狀態列中。此外，LianSpy 透過使用「NotificationListenerService」處理和抑制狀態列通知來隱藏其呼叫的後台服務的通知。

威脅行為者越來越多地利用合法服務

LianSpy 的一個複雜功能涉及使用「su」二進位檔案（重新命名為「mu」）來取得 root 存取權。這表明惡意軟體可能是透過未知漏洞或對設備的實體存取來傳播的。

LianSpy 也透過實作單向指令與控制 (C2) 通訊來強調隱密性，這意味著惡意軟體不會接收傳入的指令。它使用 Yandex Disk 來傳輸收集的資料和儲存配置命令。

Yandex Disk 的憑證透過硬編碼的 Pastebin URL 進行更新，該 URL 因惡意軟體變體而異。使用合法服務會增加一層額外的混淆，使歸因變得複雜。

作為不斷增長的間諜軟體工具中的最新產品，LianSpy 透過利用零日漏洞來瞄準行動裝置（Android 和 iOS）。除了收集通話記錄和應用程式清單等標準間諜策略外，它還利用 root 權限進行秘密螢幕錄製和規避。使用重新命名的“su”二進位檔案表明它可能涉及初次妥協後的二次感染。