Android-gebruikers pas op voor de mobiele spyware LianSpy

Computerbeveiligingsonderzoekers hebben ontdekt dat Android-spyware met de naam LianSpy zich ten minste sinds 2021 op gebruikers in Rusland richt. LianSpy werd in maart 2024 ontdekt en gebruikt Yandex Cloud, een Russische cloudservice, voor command-and-control (C2)-communicatie, waardoor de noodzaak voor speciale infrastructuur en het verbeteren van de stealth-mogelijkheden ervan.

Belangrijkste mogelijkheden en functies

LianSpy is een zeer geavanceerde spyware met de mogelijkheid om screencasts vast te leggen, gebruikersbestanden te exfiltreren en oproeplogboeken en app-lijsten te verzamelen. Volgens beveiligingsonderzoeker Dmitry Kalinin strekt de functionaliteit van de spyware zich uit tot:

• Schermopname: screencasts en schermafbeeldingen vastleggen.
• Gegevensexfiltratie: het stelen van gebruikersbestanden, oproeplogboeken en applicatielijsten.
• App-vermomming: vermomd als legitieme apps zoals Alipay of Android-systeemservices.
• Misbruik van toestemming: het vragen van uitgebreide toestemmingen voor toegang tot contacten, oproeplogboeken, meldingen en tekenoverlays op het scherm.

Distributie en persistentie

Hoewel de exacte distributiemethode van LianSpy onduidelijk blijft, suggereert Kaspersky dat het mogelijk wordt geïmplementeerd via een onbekende beveiligingsfout of fysieke toegang tot het doelapparaat. Eenmaal geactiveerd, bepaalt LianSpy of het draait als een systeemapp om beheerdersrechten te misbruiken of om een breed scala aan machtigingen vraagt om heimelijk te kunnen werken.

De malware controleert ook of deze wordt uitgevoerd in een foutopsporingsomgeving en zet een permanente configuratie op tijdens het opnieuw opstarten, verbergt het pictogram voor het opstartprogramma en voert verschillende kwaadaardige activiteiten uit, zoals gegevensonderschepping en configuratie-updates.

Geavanceerde stealth-technieken

LianSpy maakt gebruik van verschillende geavanceerde technieken om detectie te omzeilen en de persistentie ervan te garanderen:

• Privacy-indicatoren omzeilen: het omzeilt de privacy-indicatoren in Android 12 die pictogrammen weergeven voor microfoon- en cameragebruik door de beveiligde Android-instellingsparameter icon_blacklist te wijzigen.
• Meldingsonderdrukking: gebruik maken van de NotificationListenerService om statusbalkmeldingen te verwerken en te onderdrukken.
• Root-toegang: Root-toegang verkrijgen via een aangepast su-binair bestand met de naam 'mu', wat duidt op een mogelijke levering via een onbekende exploit of fysieke toegang.

Command-and-Control en gegevensversleuteling

De C2-communicatie van LianSpy is unidirectioneel en gebruikt Yandex Disk om gestolen data te verzenden en configuratieopdrachten te ontvangen. De verzamelde data wordt gecodeerd en opgeslagen in een SQL-database, waarbij alleen de dreigingsactor de benodigde RSA-sleutel bezit om deze te decoderen.

Configuratie-updates vinden plaats door elke 30 seconden te zoeken naar bestanden op de Yandex Disk van de bedreigingsactor en deze te downloaden als ze overeenkomen met een specifieke reguliere expressie. Inloggegevens voor Yandex Disk worden bijgewerkt vanaf een hardgecodeerde Pastebin-URL, die varieert tussen verschillende malwarevarianten.

LianSpy vormt een significante bedreiging in het evoluerende landschap van mobiele spyware, en maakt gebruik van geavanceerde technieken om stealth en persistentie te behouden. Het vermogen om de privacyfuncties van Android te omzeilen en legitieme services te gebruiken voor verduistering onderstreept de groeiende uitdaging om jezelf te verdedigen tegen dergelijke geavanceerde bedreigingen. Waakzaam blijven en beveiligingsmaatregelen updaten zijn cruciaal om je te beschermen tegen deze geheime cyberbedreigingen.