Android-brukere Pass på LianSpy Mobile Spyware

Datasikkerhetsforskere har oppdaget Android-spyware ved navn LianSpy har vært rettet mot brukere i Russland siden minst 2021. LianSpy ble avdekket i mars 2024 og bruker Yandex Cloud, en russisk skytjeneste, for kommando-og-kontroll (C2) kommunikasjon, og unngår behovet for dedikert infrastruktur og forbedrer stealth-funksjonene.

Nøkkelfunksjoner og funksjoner

LianSpy er et svært sofistikert spionprogram med muligheten til å fange opp skjermbilder, eksfiltrere brukerfiler og samle anropslogger og applister. I følge sikkerhetsforsker Dmitry Kalinin strekker spionvarens funksjonalitet seg til:

• Skjermopptak: Ta skjermdumper og skjermbilder.
• Dataeksfiltrering: Stjeler brukerfiler, anropslogger og applikasjonslister.
• App-forkledning: Forklædt som legitime apper som Alipay eller Android-systemtjenester.
• Misbruk av tillatelser: Be om omfattende tillatelser for å få tilgang til kontakter, anropslogger, varsler og tegneoverlegg på skjermen.

Distribusjon og utholdenhet

Mens den nøyaktige distribusjonsmetoden til LianSpy fortsatt er uklar, foreslår Kaspersky at den kan distribueres gjennom en ukjent sikkerhetsfeil eller fysisk tilgang til målenheten. Når den er aktivert, avgjør LianSpy om den kjører som en systemapp for å utnytte administratorrettigheter eller ber om et bredt spekter av tillatelser for å operere skjult.

Skadevaren sjekker også om den kjøres i et feilsøkingsmiljø og setter opp en vedvarende konfigurasjon ved omstart, skjuler ikonet sitt fra startprogrammet og utfører ulike ondsinnede aktiviteter som dataeksfiltrering og konfigurasjonsoppdateringer.

Avanserte stealth-teknikker

LianSpy bruker flere avanserte teknikker for å unngå oppdagelse og sikre utholdenhet:

• Omgå personvernindikatorer: Den omgår personvernindikatorene i Android 12 som viser ikoner for bruk av mikrofon og kamera ved å endre parameteren for sikker innstilling for Android icon_blacklist.
• Varslingsundertrykkelse: Bruker NotificationListenerService for å behandle og undertrykke statuslinjevarslinger.
• Rottilgang: Får rottilgang via en modifisert su-binær kalt "mu", som indikerer en potensiell levering gjennom en ukjent utnyttelse eller fysisk tilgang.

Kommando-og-kontroll og datakryptering

LianSpys C2-kommunikasjon er enveis, og bruker Yandex Disk til å overføre stjålne data og motta konfigurasjonskommandoer. De innhentede dataene er kryptert og lagret i en SQL-database, med bare trusselaktøren som har den nødvendige RSA-nøkkelen for å dekryptere den.

Konfigurasjonsoppdateringer skjer ved å søke etter filer på trusselaktørens Yandex-disk hvert 30. sekund, og laste dem ned hvis de samsvarer med et spesifikt regulært uttrykk. Påloggingsinformasjonen for Yandex Disk oppdateres fra en hardkodet Pastebin-URL, som varierer mellom ulike malware-varianter.

LianSpy representerer en betydelig trussel i det utviklende landskapet av mobil spionvare, og utnytter sofistikerte teknikker for å opprettholde stealth og utholdenhet. Dens evne til å omgå Androids personvernfunksjoner og bruke legitime tjenester for tilsløring understreker den økende utfordringen med å forsvare seg mot slike avanserte trusler. Å være på vakt og oppdatere sikkerhetstiltak er avgjørende for å beskytte mot disse skjulte cybertruslene.