Android 用户谨防 LianSpy 移动间谍软件

计算机安全研究人员发现，名为 LianSpy 的 Android 间谍软件至少从 2021 年开始就一直瞄准俄罗斯用户。LianSpy 于 2024 年 3 月被发现，它使用俄罗斯云服务 Yandex Cloud 进行命令和控制 (C2) 通信，从而无需专用基础设施并增强了其隐身能力。

主要功能和特点

LianSpy 是一款非常复杂的间谍软件，能够捕获截屏视频、窃取用户文件以及收集通话记录和应用程序列表。据安全研究员 Dmitry Kalinin 称，这款间谍软件的功能包括：

• 屏幕录制：捕获屏幕录像和截图。
• 数据泄露：窃取用户文件、通话记录和应用程序列表。
• 应用程序伪装：伪装成支付宝或Android系统服务等合法应用程序。
• 权限滥用：请求大量权限来访问联系人、通话记录、通知以及在屏幕上绘制覆盖图。

分布与持久性

虽然 LianSpy 的具体分发方法尚不清楚，但卡巴斯基认为它可能是通过未知的安全漏洞或对目标设备的物理访问来部署的。一旦激活，LianSpy 就会确定它是作为系统应用程序运行以利用管理员权限还是请求广泛的权限来秘密运行。

该恶意软件还会检查它是否在调试环境中执行，并在重新启动时设置持久配置，从启动器中隐藏其图标，并执行各种恶意活动，如数据泄露和配置更新。

先进的隐身技术

LianSpy 采用了多种先进的技术来逃避检测并确保其持久性：

• 绕过隐私指示器：通过修改Android安全设置参数icon_blacklist，绕过Android 12中显示麦克风和摄像头使用图标的隐私指示器。
• 通知抑制：利用NotificationListenerService处理和抑制状态栏通知。
• 根访问权限：通过名为“mu”的修改后的 su 二进制文件获得根访问权限，表明可能通过未知漏洞或物理访问进行交付。

命令控制和数据加密

LianSpy 的 C2 通信是单向的，使用 Yandex Disk 传输被盗数据并接收配置命令。收集的数据被加密并存储在 SQL 数据库中，只有威胁行为者拥有解密所需的 RSA 密钥。

配置更新通过每 30 秒搜索威胁行为者的 Yandex Disk 上的文件进行，如果文件与特定正则表达式匹配，则下载文件。Yandex Disk 的凭证通过硬编码的 Pastebin URL 进行更新，不同恶意软件变体的凭证有所不同。

LianSpy 是移动间谍软件领域中一个重要的威胁，它利用复杂的技术来保持隐蔽性和持久性。它能够绕过 Android 的隐私功能并利用合法服务进行混淆，这凸显了防御此类高级威胁的挑战越来越大。保持警惕并更新安全措施对于防范这些隐蔽的网络威胁至关重要。