Android este în centrul unei alerte emise de către furnizorul de securitate cibernetică Kaspersky a descoperit un nou malware periculos, numit LianSpy. Descoperit în martie 2024, acest malware utilizează Yandex Cloud, un serviciu cloud rusesc, pentru a comunica și a evita detectarea. Această metodă inovatoare îi permite să se sustragă de la utilizarea unei infrastructuri dedicate.
Android este, conform lui Dmitry Kalinin, cercetător în securitate la Kaspersky, vizat de malware-ul LianSpy, care este capabil să captureze screencast-uri, să exfiltreze fișierele utilizatorilor și să colecteze jurnalele de apeluri și listele de aplicații. Cu toate acestea, nu este încă clar cum este distribuit acest spyware pe dispozitivele Android.
Compania rusă sugerează că LianSpy ar putea fi implementat fie printr-o defecțiune de securitate necunoscută, fie prin acces fizic direct la telefonul țintă. Aplicațiile asociate cu acest malware sunt adesea deghizate în servicii legitime, precum Alipay sau un serviciu de sistem Android.
Odată activat pe un dispozitiv Android, LianSpy verifică dacă rulează ca o aplicație de sistem pentru a funcționa în fundal cu privilegii de administrator. În plus, solicită o gamă largă de permisiuni care îi permit să acceseze contacte, jurnalele de apeluri și notificări și să deseneze suprapuneri pe ecran. De asemenea, verifică dacă se execută într-un mediu de depanare și configurează setările pentru a persista în timpul repornirilor, ascunzând pictograma sa de lansator și inițiind activități precum realizarea de capturi de ecran și exfiltrarea datelor.
Android Atacat de un Nou Malware foarte Periculos Descoperit de către Kaspersky
În unele variante, LianSpy poate culege date din aplicațiile de mesagerie instantanee populare în Rusia și poate decide să ruleze malware-ul doar atunci când este conectat la Wi-Fi sau la o rețea mobilă. Pentru a actualiza configurația spyware, LianSpy caută un fișier specific pe Yandex Disk la fiecare 30 de secunde. Dacă este găsit, fișierul este descărcat în directorul de date intern al aplicației.
Datele colectate de pe dispozitivele Android sunt stocate într-o bază de date SQL criptată, folosind un hash SHA-256. Doar actorii de amenințare care dețin cheia RSA privată corespunzătoare pot decripta aceste informații furate.
Un aspect notabil al LianSpy este capacitatea sa de a ocoli indicatorii de confidențialitate introduși de Google în Android 12, care necesită aplicații ce solicită permisiuni pentru microfon și cameră să afișeze o pictogramă în bara de stare. Dezvoltatorii LianSpy au reușit să ocolească această protecție, ascunzând notificările de la serviciile de fundal utilizând NotificationListenerService.
LianSpy utilizează și un sub-binar cu un nume modificat „mu” pentru a obține acces root, sugerând că malware-ul ar putea fi livrat printr-un exploit necunoscut anterior sau acces fizic la dispozitivul Android. Comunicările C2 ale LianSpy sunt unidirecționale, malware-ul neprimind nicio comandă și utilizând Yandex Disk pentru transmiterea datelor furate și stocarea comenzilor de configurare.
Acreditările pentru Yandex Disk sunt actualizate de la o adresă URL Pastebin codificată, variind în funcție de variantele de malware. Utilizarea serviciilor legitime de către LianSpy adaugă un strat de ofuscare, îngreunând atribuirea atacurilor.
LianSpy reprezintă o nouă amenințare pentru utilizatorii Android, adăugându-se la lista tot mai mare de instrumente spyware care exploatează defectele zero-day. Acesta folosește tacticile standard de spionaj și privilegii root pentru înregistrarea sub acoperire a ecranului, evidențiind o posibilă infecție secundară în urma unui compromis inițial.
