至少自 2021 年以来,俄罗斯用户一直是以前未记录的 Android 入侵后间谍软件的目标,称为 LianSpy。
网络安全供应商卡巴斯基于 2024 年 3 月发现了该恶意软件,并指出它使用俄罗斯云服务 Yandex Cloud 进行命令和控制 (C2) 通信,作为避免拥有专用基础设施和逃避检测的一种方式。
“这种威胁可以捕获截屏视频,泄露用户文件,并收集通话记录和应用程序列表,”安全研究员德米特里·加里宁(Dmitry Kalinin)在周一发布的一份新技术报告中说。
目前尚不清楚间谍软件是如何分发的,但这家俄罗斯公司表示,它可能是通过未知的安全漏洞或对目标手机的直接物理访问来部署的。带有恶意软件的应用程序伪装成支付宝或 Android 系统服务。
网络安全
LianSpy 一旦激活,它就会确定它是否作为系统应用程序运行,以使用管理员权限在后台运行,或者请求广泛的权限,允许它访问联系人、通话记录和通知,并在屏幕上绘制叠加层。
它还会检查它是否在调试环境中执行,以设置在重新启动后仍然存在的配置,然后从启动器和触发器活动中隐藏其图标,例如截取屏幕截图、泄露数据以及更新其配置以指定需要捕获的信息类型。
在某些变体中,已发现这包括从俄罗斯流行的即时通讯应用程序收集数据的选项,以及仅在连接到 Wi-Fi 或移动网络等时允许或禁止运行恶意软件。
“为了更新间谍软件配置,LianSpy 每 30 秒在威胁参与者的 Yandex 磁盘上搜索与正则表达式”^frame_.+\\.png$“匹配的文件,”Kalinin 说。“如果找到,文件将下载到应用程序的内部数据目录中。”
收集的数据以加密形式存储在 SQL 数据库表中,指定记录类型及其 SHA-256 哈希,这样只有拥有相应私钥的威胁参与者才能解密被盗信息。
LianSpy 展示其隐身性的地方在于它能够绕过 Google 在 Android 12 中引入的隐私指示器功能,该功能要求请求麦克风和摄像头权限的应用程序显示状态栏图标。
“LianSpy开发人员通过将投射值附加到Android安全设置参数icon_blacklist,成功地绕过了这种保护,这可以防止通知图标出现在状态栏中,”Kalinin指出。
“LianSpy 通过利用 NotificationListenerService 来隐藏它调用的后台服务的通知,该服务处理状态栏通知并能够抑制它们。”
该恶意软件的另一个复杂方面是需要使用修改后名称为“mu”的 su 二进制文件来获得 root 访问权限,这增加了它可能通过以前未知的漏洞利用或物理设备访问提供的可能性。
网络安全
LianSpy 强调在雷达下飞行也体现在 C2 通信是单向的,恶意软件不会接收任何传入的命令。Yandex Disk 服务用于传输被盗数据和存储配置命令。
Yandex Disk 的凭据是从硬编码的 Pastebin URL 更新的,该 URL 因恶意软件变体而异。使用合法服务增加了一层混淆,有效地掩盖了归因。
LianSpy 是不断增长的间谍软件工具列表中的最新成员,这些工具通常通过利用零日漏洞提供给目标移动设备(无论是 Android 还是 iOS)。
加里宁说:“除了收集通话记录和应用程序列表等标准间谍策略外,它还利用root权限进行秘密屏幕录制和逃避。“它对重命名的 su 二进制文件的依赖强烈表明,在最初的妥协之后,继发感染。”