Android-användare Akta dig för LianSpy Mobile Spyware

Datasäkerhetsforskare har upptäckt Android-spionprogram som heter LianSpy har riktat sig mot användare i Ryssland sedan åtminstone 2021. LianSpy upptäcktes i mars 2024 och använder Yandex Cloud, en rysk molntjänst, för kommando-och-kontroll (C2) kommunikation, vilket undviker behovet av dedikerad infrastruktur och förbättra dess smygkapacitet.

Nyckelfunktioner och funktioner

LianSpy är ett mycket sofistikerat spionprogram med förmågan att fånga screencasts, exfiltrera användarfiler och samla in samtalsloggar och applistor. Enligt säkerhetsforskaren Dmitry Kalinin sträcker sig spionprogrammets funktionalitet till:

• Skärminspelning: Fångar skärmdumpar och skärmdumpar.
• Dataexfiltrering: Stjäla användarfiler, samtalsloggar och applikationslistor.
• Appförklädnad: Maskerad som legitima appar som Alipay eller Android-systemtjänster.
• Tillståndsmissbruk: Begär omfattande behörigheter för att komma åt kontakter, samtalsloggar, aviseringar och rita överlägg på skärmen.

Distribution och uthållighet

Även om den exakta distributionsmetoden för LianSpy fortfarande är oklar, föreslår Kaspersky att den kan distribueras genom ett okänt säkerhetsfel eller fysisk åtkomst till målenheten. När den väl har aktiverats avgör LianSpy om den körs som en systemapp för att utnyttja administratörsbehörigheter eller begär ett brett utbud av behörigheter för att fungera i hemlighet.

Skadlig programvara kontrollerar också om den körs i en felsökningsmiljö och ställer in en beständig konfiguration vid omstarter, döljer sin ikon från startprogrammet och utför olika skadliga aktiviteter såsom dataexfiltrering och konfigurationsuppdateringar.

Avancerade Stealth-tekniker

LianSpy använder flera avancerade tekniker för att undvika upptäckt och säkerställa dess uthållighet:

• Förbigå integritetsindikatorer: Den kringgår integritetsindikatorerna i Android 12 som visar ikoner för mikrofon- och kameraanvändning genom att ändra Androids säkra inställningsparameter icon_blacklist.
• Aviseringsundertryckning: Använder NotificationListenerService för att bearbeta och undertrycka statusfältsmeddelanden.
• Root Access: Få root-åtkomst via en modifierad subbinär som heter "mu", vilket indikerar en potentiell leverans genom en okänd exploatering eller fysisk åtkomst.

Kommando-och-kontroll och datakryptering

LianSpys C2-kommunikation är enkelriktad och använder Yandex Disk för att överföra stulen data och ta emot konfigurationskommandon. Den insamlade informationen krypteras och lagras i en SQL-databas, där endast hotaktören har den nödvändiga RSA-nyckeln för att dekryptera den.

Konfigurationsuppdateringar sker genom att söka efter filer på hotaktörens Yandex-disk var 30:e sekund, och ladda ner dem om de matchar ett specifikt reguljärt uttryck. Autentiseringsuppgifterna för Yandex Disk uppdateras från en hårdkodad Pastebin-URL, som varierar mellan olika varianter av skadlig programvara.

LianSpy representerar ett betydande hot i det växande landskapet av mobila spionprogram, som utnyttjar sofistikerade tekniker för att upprätthålla smygande och uthållighet. Dess förmåga att kringgå Androids integritetsfunktioner och använda legitima tjänster för förvirring understryker den växande utmaningen att försvara sig mot sådana avancerade hot. Att vara vaksam och uppdatera säkerhetsåtgärder är avgörande för att skydda mot dessa hemliga cyberhot.