Android 用戶謹防 LianSpy 行動間諜軟體

電腦安全研究人員發現，名為LianSpy 的Android 間諜軟體至少自2021 年以來一直以俄羅斯用戶為目標。從而避免了對俄羅斯用戶的依賴。

主要功能和特性

LianSpy 是一種高度複雜的間諜軟體，能夠擷取截圖影片、竊取使用者檔案以及取得通話日誌和應用程式清單。根據安全研究員 Dmitry Kalinin 的說法，該間諜軟體的功能擴展到：

• 螢幕錄製：擷取截圖影片和螢幕截圖。
• 資料滲透：竊取使用者檔案、通話記錄和應用程式清單。
• 應用程式偽裝：偽裝成支付寶或Android系統服務等合法應用程式。
• 權限濫用：請求廣泛的權限來存取聯絡人、通話記錄、通知以及在螢幕上繪製覆蓋圖。

分佈與持久化

雖然 LianSpy 的確切分發方法尚不清楚，但卡巴斯基表示它可能是透過未知的安全缺陷或對目標裝置的實體存取來部署的。一旦激活，LianSpy 就會確定它是否作為系統應用程式運行以利用管理員權限或請求廣泛的權限來秘密操作。

該惡意軟體還會檢查它是否在偵錯環境中執行，並在重新啟動後設定持久配置，在啟動器中隱藏其圖標，並執行各種惡意活動，例如資料外洩和配置更新。

先進的隱形技術

LianSpy 採用多種先進技術來逃避偵測並確保其持久性：

• 繞過隱私指示器：它透過修改 Android 安全設定參數 icon_blacklist 來繞過 Android 12 中顯示麥克風和攝影機使用圖示的隱私指示器。
• 通知抑制：利用NotificationListenerService處理和抑制狀態列通知。
• 根存取權限：透過名為「mu」的修改後的 su 二進位檔案來獲得根存取權限，這表示可能透過未知漏洞或實體存取進行傳遞。

命令與控制和資料加密

LianSpy 的 C2 通訊是單向的，使用 Yandex Disk 傳輸竊取的資料並接收設定指令。收集到的資料被加密並儲存在 SQL 資料庫中，只有威脅參與者擁有解密所需的 RSA 金鑰。

配置更新是透過每 30 秒在威脅參與者的 Yandex 磁碟上搜尋檔案來進行的，如果它們與特定的正規表示式匹配，則下載它們。 Yandex Disk 的憑證是從硬編碼的 Pastebin URL 更新的，根據不同的惡意軟體變體而有所不同。

LianSpy 在不斷發展的行動間諜軟體領域構成了重大威脅，它利用複雜的技術來保持隱密性和持久性。它能夠繞過 Android 的隱私功能並利用合法服務進行混淆，這凸顯了防禦此類高級威脅所面臨的日益嚴峻的挑戰。保持警惕並更新安全措施對於防範這些隱藏的網路威脅至關重要。