Użytkownicy Androida uważajcie na mobilne oprogramowanie szpiegujące LianSpy

Badacze zajmujący się bezpieczeństwem komputerowym odkryli, że oprogramowanie szpiegujące dla Androida o nazwie LianSpy atakuje użytkowników w Rosji co najmniej od 2021 r. LianSpy wykryte w marcu 2024 r. wykorzystuje Yandex Cloud, rosyjską usługę w chmurze, do komunikacji typu „dowodzenie i kontrola” (C2), unikając konieczności dedykowaną infrastrukturę i zwiększanie jej możliwości ukrywania się.

Kluczowe możliwości i funkcje

LianSpy to wysoce wyrafinowane oprogramowanie szpiegujące umożliwiające przechwytywanie screencastów, wydobywanie plików użytkownika oraz zbieranie dzienników połączeń i list aplikacji. Według badacza bezpieczeństwa Dmitrija Kalinina funkcjonalność oprogramowania szpiegującego obejmuje:

• Nagrywanie ekranu: przechwytywanie screencastów i zrzutów ekranu.
• Eksfiltracja danych: Kradzież plików użytkownika, dzienników połączeń i list aplikacji.
• Przebranie aplikacji: podszywanie się pod legalne aplikacje, takie jak Alipay lub usługi systemu Android.
• Nadużycie uprawnień: żądanie szerokich uprawnień dostępu do kontaktów, rejestrów połączeń, powiadomień i rysowania nakładek na ekranie.

Dystrybucja i trwałość

Chociaż dokładna metoda dystrybucji LianSpy pozostaje niejasna, Kaspersky sugeruje, że może on zostać wdrożony poprzez nieznaną lukę w zabezpieczeniach lub fizyczny dostęp do urządzenia docelowego. Po aktywacji LianSpy sprawdza, czy działa jako aplikacja systemowa w celu wykorzystania uprawnień administratora, czy też żąda szerokiego zakresu uprawnień do ukrytego działania.

Szkodnik sprawdza również, czy działa w środowisku debugowania i konfiguruje trwałą konfigurację po ponownym uruchomieniu, ukrywa swoją ikonę w programie uruchamiającym i wykonuje różne szkodliwe działania, takie jak eksfiltracja danych i aktualizacje konfiguracji.

Zaawansowane techniki ukrywania się

LianSpy wykorzystuje kilka zaawansowanych technik, aby uniknąć wykrycia i zapewnić jego trwałość:

• Pomijanie wskaźników prywatności: Omija wskaźniki prywatności w systemie Android 12, które wyświetlają ikony użycia mikrofonu i aparatu, modyfikując parametr bezpiecznych ustawień Androida icon_blacklist.
• Pomijanie powiadomień: wykorzystanie usługi NotificationListenerService do przetwarzania i ukrywania powiadomień na pasku stanu.
• Dostęp root: Uzyskanie dostępu do roota poprzez zmodyfikowany plik binarny su o nazwie „mu”, co wskazuje na potencjalną dostawę poprzez nieznany exploit lub dostęp fizyczny.

Dowodzenie i kontrola oraz szyfrowanie danych

Komunikacja C2 LianSpy jest jednokierunkowa i wykorzystuje dysk Yandex do przesyłania skradzionych danych i odbierania poleceń konfiguracyjnych. Przechwycone dane są szyfrowane i przechowywane w bazie danych SQL, a jedynie podmiot zagrażający posiada klucz RSA niezbędny do ich odszyfrowania.

Aktualizacje konfiguracji polegają na wyszukiwaniu plików na dysku Yandex cyberprzestępcy co 30 sekund i pobieraniu ich, jeśli pasują do określonego wyrażenia regularnego. Poświadczenia dla Yandex Disk są aktualizowane na podstawie zakodowanego na stałe adresu URL Pastebin, różniącego się w zależności od różnych wariantów złośliwego oprogramowania.

LianSpy stanowi poważne zagrożenie w ewoluującym krajobrazie mobilnego oprogramowania szpiegującego, wykorzystując wyrafinowane techniki w celu zachowania ukrycia i trwałości. Jego zdolność do omijania funkcji prywatności Androida i wykorzystywania legalnych usług do zaciemniania danych podkreśla rosnące wyzwanie w zakresie obrony przed tak zaawansowanymi zagrożeniami. Zachowanie czujności i aktualizacja środków bezpieczeństwa mają kluczowe znaczenie dla ochrony przed tymi ukrytymi zagrożeniami cybernetycznymi.