Utenti Android Fate attenzione allo spyware mobile LianSpy

I ricercatori di sicurezza informatica hanno scoperto che uno spyware Android chiamato LianSpy prende di mira gli utenti in Russia almeno dal 2021. Scoperto nel marzo 2024, LianSpy utilizza Yandex Cloud, un servizio cloud russo, per le comunicazioni di comando e controllo (C2), evitando la necessità di infrastruttura dedicata e potenziando le sue capacità stealth.

Capacità e caratteristiche principali

LianSpy è uno spyware altamente sofisticato con la capacità di acquisire screencast, estrarre file utente e raccogliere registri delle chiamate ed elenchi di app. Secondo il ricercatore di sicurezza Dmitry Kalinin, le funzionalità dello spyware si estendono a:

• Registrazione dello schermo: acquisizione di screencast e screenshot.
• Esfiltrazione dei dati: furto di file utente, registri delle chiamate ed elenchi di applicazioni.
• Disguise di app: mascherate da app legittime come Alipay o servizi di sistema Android.
• Abuso di permessi: richiesta di autorizzazioni estese per accedere a contatti, registri delle chiamate, notifiche e disegnare sovrapposizioni sullo schermo.

Distribuzione e persistenza

Anche se l'esatto metodo di distribuzione di LianSpy rimane poco chiaro, Kaspersky suggerisce che potrebbe essere distribuito attraverso una falla di sicurezza sconosciuta o l'accesso fisico al dispositivo di destinazione. Una volta attivato, LianSpy determina se è in esecuzione come app di sistema per sfruttare i privilegi di amministratore o richiede un'ampia gamma di autorizzazioni per operare di nascosto.

Il malware controlla anche se è in esecuzione in un ambiente di debug e imposta una configurazione persistente dopo i riavvii, nasconde la sua icona dal programma di avvio ed esegue varie attività dannose come l'esfiltrazione di dati e gli aggiornamenti della configurazione.

Tecniche furtive avanzate

LianSpy utilizza diverse tecniche avanzate per eludere il rilevamento e garantirne la persistenza:

• Bypassare gli indicatori di privacy: aggira gli indicatori di privacy in Android 12 che visualizzano le icone per l'utilizzo del microfono e della fotocamera modificando il parametro di impostazione sicura di Android icon_blacklist.
• Soppressione delle notifiche: utilizzo di NotificationListenerService per elaborare ed eliminare le notifiche della barra di stato.
• Accesso root: ottenere l'accesso root tramite un su binario modificato denominato "mu", che indica una potenziale consegna tramite un exploit sconosciuto o un accesso fisico.

Comando e controllo e crittografia dei dati

Le comunicazioni C2 di LianSpy sono unidirezionali e utilizzano Yandex Disk per trasmettere dati rubati e ricevere comandi di configurazione. I dati raccolti vengono crittografati e archiviati in un database SQL, e solo l'autore della minaccia possiede la chiave RSA necessaria per decrittografarli.

Gli aggiornamenti della configurazione avvengono cercando i file sul disco Yandex dell'autore della minaccia ogni 30 secondi, scaricandoli se corrispondono a un'espressione regolare specifica. Le credenziali per Yandex Disk vengono aggiornate da un URL Pastebin hardcoded, che varia a seconda delle diverse varianti di malware.

LianSpy rappresenta una minaccia significativa nel panorama in evoluzione dello spyware mobile, sfruttando tecniche sofisticate per mantenere la segretezza e la persistenza. La sua capacità di aggirare le funzionalità di privacy di Android e di utilizzare servizi legittimi per l'offuscamento sottolinea la crescente sfida nella difesa da minacce così avanzate. Rimanere vigili e aggiornare le misure di sicurezza sono fondamentali per proteggersi da queste minacce informatiche nascoste.