Usuarios de Android, tengan cuidado con el software espía móvil LianSpy

Investigadores de seguridad informática han descubierto que el software espía de Android llamado LianSpy ha estado apuntando a usuarios en Rusia desde al menos 2021. Descubierto en marzo de 2024, LianSpy utiliza Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2), evitando la necesidad de infraestructura dedicada y mejorando sus capacidades sigilosas.

Capacidades y características clave

LianSpy es un software espía muy sofisticado con la capacidad de capturar capturas de pantalla, filtrar archivos de usuarios y recopilar registros de llamadas y listas de aplicaciones. Según el investigador de seguridad Dmitry Kalinin, la funcionalidad del software espía se extiende a:

• Grabación de pantalla: captura de capturas de pantalla y capturas de pantalla.
• Exfiltración de datos: robo de archivos de usuarios, registros de llamadas y listas de aplicaciones.
• Disfraz de aplicación: hacerse pasar por aplicaciones legítimas como Alipay o servicios del sistema Android.
• Abuso de permisos: solicitar permisos extensos para acceder a contactos, registros de llamadas, notificaciones y dibujar superposiciones en la pantalla.

Distribución y persistencia

Si bien el método de distribución exacto de LianSpy aún no está claro, Kaspersky sugiere que podría implementarse a través de una falla de seguridad desconocida o acceso físico al dispositivo de destino. Una vez activado, LianSpy determina si se está ejecutando como una aplicación del sistema para aprovechar los privilegios de administrador o solicita una amplia gama de permisos para operar de forma encubierta.

El malware también comprueba si se está ejecutando en un entorno de depuración y establece una configuración persistente durante los reinicios, oculta su icono del iniciador y realiza diversas actividades maliciosas, como filtración de datos y actualizaciones de configuración.

Técnicas avanzadas de sigilo

LianSpy emplea varias técnicas avanzadas para evadir la detección y garantizar su persistencia:

• Omitir indicadores de privacidad: evita los indicadores de privacidad en Android 12 que muestran íconos para el uso del micrófono y la cámara modificando el parámetro de configuración segura de Android icon_blacklist.
• Supresión de notificaciones: utilizar NotificationListenerService para procesar y suprimir las notificaciones de la barra de estado.
• Acceso raíz: obtener acceso raíz a través de un binario su modificado llamado "mu", lo que indica una posible entrega a través de un exploit desconocido o acceso físico.

Comando y control y cifrado de datos

Las comunicaciones C2 de LianSpy son unidireccionales y utilizan Yandex Disk para transmitir datos robados y recibir comandos de configuración. Los datos recopilados se cifran y se almacenan en una base de datos SQL, y solo el actor de la amenaza posee la clave RSA necesaria para descifrarlos.

Las actualizaciones de configuración se realizan buscando archivos en el disco Yandex del actor de la amenaza cada 30 segundos y descargándolos si coinciden con una expresión regular específica. Las credenciales para Yandex Disk se actualizan desde una URL de Pastebin codificada, que varía según las diferentes variantes de malware.

LianSpy representa una amenaza significativa en el panorama cambiante del software espía móvil, ya que aprovecha técnicas sofisticadas para mantener el sigilo y la persistencia. Su capacidad para eludir las funciones de privacidad de Android y utilizar servicios legítimos para la ofuscación subraya el creciente desafío de defenderse contra amenazas tan avanzadas. Mantenerse alerta y actualizar las medidas de seguridad es crucial para protegerse contra estas ciberamenazas encubiertas.