Usuários de Android, cuidado com o spyware móvel LianSpy

Pesquisadores de segurança de computadores descobriram que um spyware Android chamado LianSpy tem como alvo usuários na Rússia desde pelo menos 2021. Descoberto em março de 2024, o LianSpy usa Yandex Cloud, um serviço de nuvem russo, para comunicações de comando e controle (C2), evitando a necessidade de infraestrutura dedicada e aprimorando suas capacidades furtivas.

Principais capacidades e recursos

LianSpy é um spyware altamente sofisticado com capacidade de capturar screencasts, exfiltrar arquivos de usuários e coletar registros de chamadas e listas de aplicativos. De acordo com o pesquisador de segurança Dmitry Kalinin, a funcionalidade do spyware se estende a:

• Gravação de tela: Captura de screencasts e screenshots.
• Exfiltração de dados: roubo de arquivos de usuários, registros de chamadas e listas de aplicativos.
• Disfarce de aplicativo: disfarçado de aplicativos legítimos, como Alipay ou serviços do sistema Android.
• Abuso de permissão: solicitação de permissões extensas para acessar contatos, registros de chamadas, notificações e desenhar sobreposições na tela.

Distribuição e Persistência

Embora o método exato de distribuição do LianSpy ainda não esteja claro, a Kaspersky sugere que ele pode ser implantado por meio de uma falha de segurança desconhecida ou de acesso físico ao dispositivo alvo. Uma vez ativado, o LianSpy determina se está sendo executado como um aplicativo de sistema para explorar privilégios de administrador ou solicita uma ampla gama de permissões para operar secretamente.

O malware também verifica se está sendo executado em um ambiente de depuração e define uma configuração persistente durante as reinicializações, oculta seu ícone do inicializador e executa diversas atividades maliciosas, como exfiltração de dados e atualizações de configuração.

Técnicas Avançadas de Furtividade

LianSpy emprega diversas técnicas avançadas para evitar a detecção e garantir sua persistência:

• Ignorando indicadores de privacidade: ele contorna os indicadores de privacidade no Android 12 que exibem ícones para uso de microfone e câmera, modificando o parâmetro de configuração segura do Android icon_blacklist.
• Supressão de notificação: utilizando o NotificationListenerService para processar e suprimir notificações da barra de status.
• Acesso root: obter acesso root por meio de um binário su modificado chamado “mu”, indicando uma entrega potencial por meio de uma exploração desconhecida ou acesso físico.

Comando e controle e criptografia de dados

As comunicações C2 do LianSpy são unidirecionais, usando o Yandex Disk para transmitir dados roubados e receber comandos de configuração. Os dados coletados são criptografados e armazenados em um banco de dados SQL, e apenas o agente da ameaça possui a chave RSA necessária para descriptografá-los.

As atualizações de configuração ocorrem pesquisando arquivos no Yandex Disk do agente da ameaça a cada 30 segundos, baixando-os se corresponderem a uma expressão regular específica. As credenciais do Yandex Disk são atualizadas a partir de um URL Pastebin codificado, variando entre diferentes variantes de malware.

O LianSpy representa uma ameaça significativa no cenário em evolução do spyware móvel, aproveitando técnicas sofisticadas para manter a discrição e a persistência. Sua capacidade de contornar os recursos de privacidade do Android e utilizar serviços legítimos para ofuscação ressalta o crescente desafio na defesa contra essas ameaças avançadas. Manter-se vigilante e atualizar as medidas de segurança é crucial para proteger contra estas ameaças cibernéticas encobertas.