Android-felhasználók Óvakodjanak a LianSpy Mobile Spyware-től

Számítógép-biztonsági kutatók felfedezték, hogy a LianSpy nevű Android kémprogram legalább 2021 óta célozza meg az oroszországi felhasználókat. A 2024 márciusában feltárt LianSpy egy oroszországi felhőszolgáltatást, a Yandex Cloudot használja a parancs- és vezérlő (C2) kommunikációhoz, elkerülve ezzel dedikált infrastruktúrát, és fokozza annak lopakodó képességeit.

Főbb képességek és funkciók

A LianSpy egy rendkívül kifinomult kémprogram, amely képes képernyőképeket rögzíteni, felhasználói fájlokat kiszűrni, valamint hívásnaplókat és alkalmazáslistákat gyűjteni. Dmitrij Kalinin biztonsági kutató szerint a kémprogram funkcionalitása a következőkre terjed ki:

• Képernyőfelvétel: Képernyőfelvételek és képernyőképek készítése.
• Adatok kiszűrése: Felhasználói fájlok, hívásnaplók és alkalmazáslisták ellopása.
• Alkalmazások álcázása: Legális alkalmazásoknak álcázás, mint például az Alipay vagy az Android rendszerszolgáltatások.
• Engedélyekkel való visszaélés: kiterjedt engedélyek kérése a névjegyek, hívásnaplók, értesítések eléréséhez és fedvények rajzolásához a képernyőn.

Eloszlás és kitartás

Míg a LianSpy pontos terjesztési módja továbbra is tisztázatlan, a Kaspersky azt sugallja, hogy egy ismeretlen biztonsági hiba vagy a céleszköz fizikai hozzáférése miatt kerülhet telepítésre. Az aktiválás után a LianSpy megállapítja, hogy rendszeralkalmazásként fut-e a rendszergazdai jogosultságok kihasználása érdekében, vagy engedélyek széles skáláját kéri a rejtett működéshez.

A rosszindulatú program azt is ellenőrzi, hogy hibakereső környezetben fut-e, és állandó konfigurációt állít be az újraindítások során, elrejti ikonját az indító elől, és különféle rosszindulatú tevékenységeket hajt végre, mint például az adatok kiszűrése és a konfiguráció frissítése.

Fejlett lopakodó technikák

A LianSpy számos fejlett technikát alkalmaz az észlelés elkerülésére és annak fennmaradásának biztosítására:

• Az adatvédelmi jelzők megkerülése: Megkerüli az Android 12 adatvédelmi jelzőit, amelyek a mikrofon- és kamerahasználat ikonjait jelenítik meg az Android biztonságos beállítási paraméterének icon_blacklist módosításával.
• Értesítések elnyomása: A NotificationListenerService használata az állapotsor értesítéseinek feldolgozásához és letiltásához.
• Root Access: Root hozzáférés megszerzése a "mu" nevű módosított al-binárison keresztül, jelezve a lehetséges kézbesítést egy ismeretlen kihasználáson vagy fizikai hozzáférésen keresztül.

Command-and-Control és adattitkosítás

A LianSpy C2 kommunikációja egyirányú, a Yandex Disk segítségével továbbítja a lopott adatokat és fogadja a konfigurációs parancsokat. A begyűjtött adatokat titkosítják és egy SQL-adatbázisban tárolják, és csak a fenyegetés szereplője rendelkezik a visszafejtéshez szükséges RSA-kulccsal.

A konfigurációs frissítések úgy történnek, hogy 30 másodpercenként megkeresik a fenyegetést okozó szereplő Yandex lemezén lévő fájlokat, és letöltik azokat, ha megfelelnek egy adott reguláris kifejezésnek. A Yandex Disk hitelesítő adatai egy kemény kódolt Pastebin URL-ről frissülnek, a rosszindulatú programok különböző változataitól függően.

A LianSpy jelentős fenyegetést jelent a mobil kémprogramok fejlődő világában, kifinomult technikákat alkalmazva a lopakodás és a kitartás megőrzése érdekében. Az a képessége, hogy megkerüli az Android adatvédelmi funkcióit, és törvényes szolgáltatásokat használ a homályosításhoz, rámutat az ilyen fejlett fenyegetésekkel szembeni védekezés egyre növekvő kihívására. Az éberség megőrzése és a biztonsági intézkedések frissítése alapvető fontosságú az ilyen rejtett kiberfenyegetésekkel szemben.