Пользователи Android остерегаются мобильного шпионского ПО LianSpy

Исследователи компьютерной безопасности обнаружили, что шпионское ПО для Android под названием LianSpy нацелено на пользователей в России как минимум с 2021 года. Обнаруженное в марте 2024 года, LianSpy использует российскую облачную службу Yandex Cloud для командно-контрольной связи (C2), избегая необходимости в выделенную инфраструктуру и расширение ее скрытных возможностей.

Ключевые возможности и особенности

LianSpy — это сложная шпионская программа, способная захватывать скринкасты, извлекать пользовательские файлы, а также собирать журналы вызовов и списки приложений. По словам исследователя безопасности Дмитрия Калинина, функционал шпионской программы распространяется на:

• Запись экрана: создание скринкастов и снимков экрана.
• Эксфильтрация данных: кража пользовательских файлов, журналов вызовов и списков приложений.
• Маскировка приложений: маскировка под законные приложения, такие как Alipay или системные службы Android.
• Злоупотребление разрешениями: запрос расширенных разрешений на доступ к контактам, журналам вызовов, уведомлениям и рисованию наложений на экране.

Распространение и устойчивость

Хотя точный метод распространения LianSpy остается неясным, Касперский предполагает, что он может быть развернут через неизвестную уязвимость безопасности или физический доступ к целевому устройству. После активации LianSpy определяет, работает ли он как системное приложение для использования привилегий администратора или запрашивает широкий спектр разрешений для скрытой работы.

Вредоносная программа также проверяет, выполняется ли она в среде отладки, и устанавливает постоянную конфигурацию при перезагрузках, скрывает свой значок из панели запуска и выполняет различные вредоносные действия, такие как кража данных и обновление конфигурации.

Продвинутые методы скрытности

LianSpy использует несколько передовых методов, позволяющих избежать обнаружения и обеспечить его постоянство:

• Обход индикаторов конфиденциальности: он обходит индикаторы конфиденциальности в Android 12, которые отображают значки использования микрофона и камеры, путем изменения параметра настроек безопасности Android icon_blacklist.
• Подавление уведомлений: использование NotificationListenerService для обработки и подавления уведомлений в строке состояния.
• Корневой доступ: получение root-доступа через модифицированный двоичный файл su с именем «mu», что указывает на потенциальную доставку через неизвестный эксплойт или физический доступ.

Командование и управление и шифрование данных

Связь C2 LianSpy является однонаправленной: для передачи украденных данных и получения команд конфигурации используется Яндекс Диск. Собранные данные шифруются и сохраняются в базе данных SQL, и только злоумышленник обладает необходимым ключом RSA для их расшифровки.

Обновление конфигурации происходит путем поиска файлов на Яндекс-диске злоумышленника каждые 30 секунд и их загрузки, если они соответствуют определенному регулярному выражению. Учетные данные для Яндекс Диска обновляются по жестко закодированному URL-адресу Pastebin, который различается в зависимости от варианта вредоносного ПО.

LianSpy представляет собой серьезную угрозу в развивающемся мире мобильного шпионского ПО, используя сложные методы для обеспечения скрытности и устойчивости. Его способность обходить функции конфиденциальности Android и использовать законные сервисы для запутывания подчеркивает растущую сложность защиты от таких продвинутых угроз. Сохранение бдительности и обновление мер безопасности имеют решающее значение для защиты от этих скрытых киберугроз.