Android-brugere Pas på LianSpy Mobile Spyware

Computersikkerhedsforskere har opdaget, at Android-spyware ved navn LianSpy har været målrettet mod brugere i Rusland siden mindst 2021. LianSpy blev afsløret i marts 2024 og bruger Yandex Cloud, en russisk cloud-tjeneste, til kommando-og-kontrol (C2) kommunikation, hvilket undgår behovet for dedikeret infrastruktur og forbedring af dens stealth-kapaciteter.

Nøglefunktioner og funktioner

LianSpy er et meget sofistikeret spyware med evnen til at fange screencasts, eksfiltrere brugerfiler og høste opkaldslogfiler og applister. Ifølge sikkerhedsforsker Dmitry Kalinin strækker spywarens funktionalitet sig til:

• Skærmoptagelse: Optagelse af screencasts og skærmbilleder.
• Dataeksfiltrering: Stjæling af brugerfiler, opkaldslogger og applikationslister.
• App-forklædning: Forklædt som legitime apps som Alipay eller Android-systemtjenester.
• Tilladelsesmisbrug: Anmoder om omfattende tilladelser til at få adgang til kontakter, opkaldslogger, meddelelser og tegne overlejringer på skærmen.

Distribution og persistens

Mens den nøjagtige distributionsmetode for LianSpy forbliver uklar, foreslår Kaspersky, at den kan blive implementeret gennem en ukendt sikkerhedsfejl eller fysisk adgang til målenheden. Når den er aktiveret, afgør LianSpy, om den kører som en systemapp for at udnytte administratorrettigheder eller anmoder om en bred vifte af tilladelser til at fungere skjult.

Malwaren tjekker også, om den udføres i et debugging-miljø og opsætter en vedvarende konfiguration på tværs af genstarter, skjuler sit ikon fra launcheren og udfører forskellige ondsindede aktiviteter såsom dataeksfiltrering og konfigurationsopdateringer.

Avancerede stealth-teknikker

LianSpy anvender flere avancerede teknikker til at undgå opdagelse og sikre dens vedholdenhed:

• Omgå privatlivsindikatorer: Den omgår privatlivsindikatorerne i Android 12, der viser ikoner for mikrofon- og kamerabrug ved at ændre Androids sikre indstillingsparameter icon_blacklist.
• Notifikationsundertrykkelse: Brug af NotificationListenerService til at behandle og undertrykke statuslinjemeddelelser.
• Rodadgang: Få root-adgang via en modificeret sub-binær ved navn "mu", hvilket indikerer en potentiel levering gennem en ukendt udnyttelse eller fysisk adgang.

Kommando-og-kontrol og datakryptering

LianSpy's C2-kommunikation er ensrettet og bruger Yandex Disk til at overføre stjålne data og modtage konfigurationskommandoer. De indsamlede data krypteres og lagres i en SQL-database, hvor kun trusselsaktøren har den nødvendige RSA-nøgle til at dekryptere dem.

Konfigurationsopdateringer sker ved at søge efter filer på trusselsaktørens Yandex-disk hvert 30. sekund, og downloade dem, hvis de matcher et specifikt regulært udtryk. Oplysninger til Yandex Disk opdateres fra en hårdkodet Pastebin-URL, der varierer på tværs af forskellige malware-varianter.

LianSpy repræsenterer en væsentlig trussel i det udviklende landskab af mobil spyware, der udnytter sofistikerede teknikker til at bevare stealth og vedholdenhed. Dens evne til at omgå Androids privatlivsfunktioner og bruge legitime tjenester til sløring understreger den voksende udfordring i at forsvare sig mod sådanne avancerede trusler. At være på vagt og opdatere sikkerhedsforanstaltninger er afgørende for at beskytte mod disse hemmelige cybertrusler.