„Android“ vartotojai saugokitės „LianSpy“ mobiliųjų šnipinėjimo programų

Kompiuterių saugos tyrinėtojai išsiaiškino, kad „Android“ šnipinėjimo programa, pavadinta LianSpy, buvo nukreipta į Rusijos vartotojus mažiausiai nuo 2021 m. 2024 m. kovo mėn. atskleista, kad „LianSpy“ komandų ir valdymo (C2) ryšiui naudoja „Yandex Cloud“, Rusijos debesies paslaugą, kad išvengtų poreikio skirtą infrastruktūrą ir sustiprinti jos slaptumo galimybes.

Pagrindinės galimybės ir funkcijos

LianSpy yra labai sudėtinga šnipinėjimo programa, galinti užfiksuoti ekrano transliacijas, išfiltruoti vartotojų failus ir rinkti skambučių žurnalus bei programų sąrašus. Pasak saugumo tyrinėtojo Dmitrijaus Kalinino, šnipinėjimo programos funkcionalumas apima:

• Ekrano įrašymas: ekrano įrašų ir ekrano kopijų fiksavimas.
• Duomenų išfiltravimas: vartotojų failų, skambučių žurnalų ir programų sąrašų vagystė.
• Programos maskavimas: apsimetimas teisėtomis programomis, tokiomis kaip „Alipay“ arba „Android“ sistemos paslaugos.
• Piktnaudžiavimas leidimais: daug leidimų prieiti prie kontaktų, skambučių žurnalų, pranešimų ir piešti perdangas ekrane užklausa.

Paskirstymas ir patvarumas

Nors tikslus „LianSpy“ platinimo metodas lieka neaiškus, „Kaspersky“ teigia, kad jis gali būti įdiegtas dėl nežinomo saugos trūkumo arba fizinės prieigos prie tikslinio įrenginio. Kai suaktyvinta, „LianSpy“ nustato, ar ji veikia kaip sistemos programa, kad išnaudotų administratoriaus privilegijas, ar prašo įvairių leidimų, kad galėtų veikti slaptai.

Kenkėjiška programa taip pat patikrina, ar ji veikia derinimo aplinkoje, ir nustato nuolatinę konfigūraciją perkraunant iš naujo, slepia savo piktogramą nuo paleidimo priemonės ir atlieka įvairią kenkėjišką veiklą, pvz., duomenų išfiltravimą ir konfigūracijos atnaujinimus.

Išplėstinė slapta technika

„LianSpy“ naudoja keletą pažangių metodų, kad išvengtų aptikimo ir užtikrintų jo išlikimą:

• Apeinant privatumo rodiklius: pakeitus „Android“ saugaus nustatymo parametrą icon_blacklist, jis apeina „Android 12“ privatumo indikatorius, rodančius mikrofono ir fotoaparato naudojimo piktogramas.
• Pranešimų slopinimas: „NotificationListenerService“ naudojimas būsenos juostos pranešimams apdoroti ir slopinti.
• Šakninė prieiga: šakninės prieigos gavimas naudojant modifikuotą antrinį bloką, pavadintą „mu“, nurodantį galimą pristatymą naudojant nežinomą išnaudojimą arba fizinę prieigą.

Komandų ir valdymo bei duomenų šifravimas

„LianSpy“ C2 ryšys yra vienakryptis, naudojant „Yandex Disk“ pavogtiems duomenims perduoti ir konfigūravimo komandoms gauti. Surinkti duomenys užšifruojami ir saugomi SQL duomenų bazėje, o tik grėsmės veikėjas turi būtiną RSA raktą, kad galėtų juos iššifruoti.

Konfigūracija atnaujinama kas 30 sekundžių ieškant failų grėsmės veikėjo „Yandex Disk“ ir atsisiunčiant juos, jei jie atitinka konkrečią reguliariąją išraišką. „Yandex Disk“ kredencialai atnaujinami naudojant sunkiai užkoduotą „Pastebin“ URL, kuris skiriasi priklausomai nuo kenkėjiškų programų variantų.

„LianSpy“ kelia didelę grėsmę besivystančiame mobiliųjų šnipinėjimo programų pasaulyje, naudodama sudėtingas technologijas, kad išlaikytų slaptumą ir atkaklumą. Jo gebėjimas apeiti „Android“ privatumo funkcijas ir naudoti teisėtas paslaugas užtemdymui pabrėžia didėjantį iššūkį apsisaugoti nuo tokių pažangių grėsmių. Norint apsisaugoti nuo šių slaptų kibernetinių grėsmių, labai svarbu išlikti budriems ir atnaujinti saugumo priemones.