Χρήστες Android Προσοχή στο LianSpy Mobile Spyware

Ερευνητές ασφάλειας υπολογιστών ανακάλυψαν ότι το λογισμικό υποκλοπής Android με το όνομα LianSpy στοχεύει χρήστες στη Ρωσία τουλάχιστον από το 2021. Αποκαλύφθηκε τον Μάρτιο του 2024, το LianSpy χρησιμοποιεί το Yandex Cloud, μια ρωσική υπηρεσία cloud, για επικοινωνίες εντολών και ελέγχου (C2), αποφεύγοντας την ανάγκη αποκλειστική υποδομή και ενίσχυση των δυνατοτήτων μυστικότητας.

Βασικές Δυνατότητες και Χαρακτηριστικά

Το LianSpy είναι ένα εξαιρετικά εξελιγμένο λογισμικό υποκλοπής spyware με δυνατότητα λήψης εκπομπών οθόνης, διείσδυσης αρχείων χρηστών και συλλογής αρχείων καταγραφής κλήσεων και λιστών εφαρμογών. Σύμφωνα με τον ερευνητή ασφαλείας Ντμίτρι Καλίνιν, η λειτουργικότητα του spyware εκτείνεται σε:

• Εγγραφή οθόνης: Λήψη εκπομπών οθόνης και στιγμιότυπων οθόνης.
• Εξαγωγή δεδομένων: κλοπή αρχείων χρηστών, αρχείων καταγραφής κλήσεων και λιστών εφαρμογών.
• App Disguise: Μεταμφίεση ως νόμιμες εφαρμογές όπως Alipay ή υπηρεσίες συστήματος Android.
• Κατάχρηση αδειών: Αίτημα εκτεταμένων αδειών για πρόσβαση σε επαφές, αρχεία καταγραφής κλήσεων, ειδοποιήσεις και σχεδίαση επικαλύψεων στην οθόνη.

Διανομή και Εμμονή

Ενώ η ακριβής μέθοδος διανομής του LianSpy παραμένει ασαφής, η Kaspersky προτείνει ότι μπορεί να αναπτυχθεί μέσω άγνωστου ελαττώματος ασφαλείας ή φυσικής πρόσβασης στη συσκευή-στόχο. Μόλις ενεργοποιηθεί, το LianSpy καθορίζει εάν εκτελείται ως εφαρμογή συστήματος για την εκμετάλλευση των προνομίων διαχειριστή ή ζητά ένα ευρύ φάσμα αδειών για να λειτουργεί κρυφά.

Το κακόβουλο λογισμικό ελέγχει επίσης εάν εκτελείται σε περιβάλλον εντοπισμού σφαλμάτων και ρυθμίζει μια μόνιμη διαμόρφωση κατά τις επανεκκινήσεις, αποκρύπτει το εικονίδιό του από το πρόγραμμα εκκίνησης και εκτελεί διάφορες κακόβουλες δραστηριότητες, όπως εξαγωγή δεδομένων και ενημερώσεις διαμόρφωσης.

Προηγμένες τεχνικές Stealth

Το LianSpy χρησιμοποιεί πολλές προηγμένες τεχνικές για να αποφύγει τον εντοπισμό και να εξασφαλίσει την εμμονή του:

• Παράκαμψη των δεικτών απορρήτου: Παρακάμπτει τις ενδείξεις απορρήτου στο Android 12 που εμφανίζουν εικονίδια για χρήση μικροφώνου και κάμερας, τροποποιώντας την παράμετρο icon_blacklist της ασφαλούς ρύθμισης Android.
• Καταστολή ειδοποιήσεων: Χρήση της υπηρεσίας NotificationListenerService για την επεξεργασία και την απόκρυψη ειδοποιήσεων της γραμμής κατάστασης.
• Root Access: Απόκτηση πρόσβασης root μέσω ενός τροποποιημένου υποδυαδικού που ονομάζεται "mu", που υποδεικνύει μια πιθανή παράδοση μέσω άγνωστης εκμετάλλευσης ή φυσικής πρόσβασης.

Command-and-Control και Κρυπτογράφηση δεδομένων

Οι επικοινωνίες C2 του LianSpy είναι μονής κατεύθυνσης, χρησιμοποιώντας το Yandex Disk για τη μετάδοση κλεμμένων δεδομένων και τη λήψη εντολών διαμόρφωσης. Τα δεδομένα που συλλέγονται κρυπτογραφούνται και αποθηκεύονται σε μια βάση δεδομένων SQL, με μόνο τον παράγοντα απειλής να διαθέτει το απαραίτητο κλειδί RSA για την αποκρυπτογράφηση τους.

Οι ενημερώσεις διαμόρφωσης πραγματοποιούνται αναζητώντας αρχεία στο Yandex Disk του ηθοποιού απειλών κάθε 30 δευτερόλεπτα, κατεβάζοντάς τα εάν ταιριάζουν με μια συγκεκριμένη τυπική έκφραση. Τα διαπιστευτήρια για το Yandex Disk ενημερώνονται από μια σκληρά κωδικοποιημένη διεύθυνση URL Pastebin, η οποία ποικίλλει ανάλογα με τις διάφορες παραλλαγές κακόβουλου λογισμικού.

Το LianSpy αντιπροσωπεύει μια σημαντική απειλή στο εξελισσόμενο τοπίο του κινητού spyware, αξιοποιώντας εξελιγμένες τεχνικές για τη διατήρηση της μυστικότητας και της επιμονής. Η ικανότητά του να παρακάμπτει τις δυνατότητες απορρήτου του Android και να χρησιμοποιεί νόμιμες υπηρεσίες για συσκότιση υπογραμμίζει την αυξανόμενη πρόκληση στην άμυνα έναντι τέτοιων προηγμένων απειλών. Η παραμονή σε επαγρύπνηση και η ενημέρωση των μέτρων ασφαλείας είναι ζωτικής σημασίας για την προστασία από αυτές τις κρυφές απειλές στον κυβερνοχώρο.