Android-Benutzer sollten sich vor der mobilen Spyware LianSpy in Acht nehmen

Computersicherheitsforscher haben entdeckt, dass Android-Spyware namens LianSpy seit mindestens 2021 auf Benutzer in Russland abzielt. LianSpy wurde im März 2024 entdeckt und verwendet Yandex Cloud, einen russischen Cloud-Dienst, für die Command-and-Control-Kommunikation (C2), wodurch die Notwendigkeit einer dedizierten Infrastruktur vermieden und die Stealth-Funktionen verbessert werden.

Wichtige Funktionen und Merkmale

LianSpy ist eine hochentwickelte Spyware, die Screencasts aufzeichnen, Benutzerdateien exfiltrieren und Anrufprotokolle und App-Listen sammeln kann. Laut dem Sicherheitsforscher Dmitry Kalinin umfasst die Funktionalität der Spyware:

• Bildschirmaufzeichnung: Aufnehmen von Screencasts und Screenshots.
• Datenexfiltration: Diebstahl von Benutzerdateien, Anrufprotokollen und Anwendungslisten.
• App-Verkleidung: Tarnung als legitime Apps wie Alipay oder Android-Systemdienste.
• Missbrauch von Berechtigungen: Anfordern umfassender Berechtigungen für den Zugriff auf Kontakte, Anrufprotokolle, Benachrichtigungen und das Zeichnen von Overlays auf dem Bildschirm.

Verbreitung und Persistenz

Während die genaue Verbreitungsmethode von LianSpy unklar bleibt, vermutet Kaspersky, dass es über eine unbekannte Sicherheitslücke oder physischen Zugriff auf das Zielgerät verbreitet werden könnte. Nach der Aktivierung ermittelt LianSpy, ob es als Systemanwendung ausgeführt wird, um Administratorrechte auszunutzen, oder ob es eine breite Palette von Berechtigungen anfordert, um verdeckt zu operieren.

Die Malware prüft außerdem, ob sie in einer Debugging-Umgebung ausgeführt wird, richtet eine dauerhafte Konfiguration für alle Neustarts ein, verbirgt ihr Symbol im Launcher und führt verschiedene bösartige Aktivitäten aus, wie etwa Datenexfiltration und Konfigurationsaktualisierungen.

Fortgeschrittene Stealth-Techniken

LianSpy verwendet mehrere fortschrittliche Techniken, um der Erkennung zu entgehen und seine Persistenz sicherzustellen:

• Umgehen von Datenschutzindikatoren: Es umgeht die Datenschutzindikatoren in Android 12, die Symbole für die Mikrofon- und Kameranutzung anzeigen, indem es den Android-Sicherheitseinstellungsparameter icon_blacklist ändert.
• Unterdrückung von Benachrichtigungen: Verwenden des NotificationListenerService zum Verarbeiten und Unterdrücken von Statusleistenbenachrichtigungen.
• Root-Zugriff: Erlangen des Root-Zugriffs über eine geänderte Su-Binärdatei mit dem Namen „mu“, was auf eine mögliche Verbreitung durch einen unbekannten Exploit oder physischen Zugriff hinweist.

Command-and-Control und Datenverschlüsselung

Die C2-Kommunikation von LianSpy ist unidirektional und verwendet Yandex Disk, um gestohlene Daten zu übertragen und Konfigurationsbefehle zu empfangen. Die gesammelten Daten werden verschlüsselt und in einer SQL-Datenbank gespeichert. Nur der Bedrohungsakteur verfügt über den erforderlichen RSA-Schlüssel, um sie zu entschlüsseln.

Konfigurationsaktualisierungen werden durchgeführt, indem alle 30 Sekunden auf der Yandex Disk des Bedrohungsakteurs nach Dateien gesucht und diese heruntergeladen werden, wenn sie einem bestimmten regulären Ausdruck entsprechen. Die Anmeldeinformationen für Yandex Disk werden über eine fest codierte Pastebin-URL aktualisiert, die je nach Malware-Variante unterschiedlich ist.

LianSpy stellt eine erhebliche Bedrohung in der sich entwickelnden Landschaft mobiler Spyware dar und nutzt ausgefeilte Techniken, um Tarnung und Persistenz aufrechtzuerhalten. Seine Fähigkeit, die Datenschutzfunktionen von Android zu umgehen und legitime Dienste zur Verschleierung zu nutzen, unterstreicht die wachsende Herausforderung bei der Verteidigung gegen solche fortschrittlichen Bedrohungen. Um sich vor diesen verdeckten Cyberbedrohungen zu schützen, sind Wachsamkeit und aktuelle Sicherheitsmaßnahmen von entscheidender Bedeutung.