LianSpy: Android zlonamjerni softver

AUTOR ·

LianSpy je sofisticirani mobilni špijunski softver koji cilja Android korisnike u Rusiji i radi ispod radara najmanje tri godine. Otkriven od strane sigurnosnih istraživača kompanije Kaspersky u martu 2024. godine, ovaj prikriveni zlonamjerni softver koristi nekonvencionalne pristupe da izbjegne otkrivanje i izvuče osjetljive informacije od svojih žrtava.

LianSpy

LianSpy: Android zlonamjerni softver; Source: Bing Image Creator

LIANSPY ZLONAMJERNI SOFTVER

Dostupni podaci sugerišu  da je LianSpy aktivan od jula 2021. godine, ali je ostao neotkriven zbog pažljivih napora zlonamjernih aktera da prikriju svoje tragove. Zlonamjerni softver su prvi put otkrili sigurnosni istraživači kompanije Kaspersky u martu 2024. godine kada su primijetili neobičan obrazac eksfiltracije podataka sa Android uređaja. Istraga je otkrila da se LianSpy maskirao kao legitimna aplikacija, izbjegavajući otkrivanje više od dvije godine.

Tačan način distribucije LianSpy zlonamjernog softvera ostaje neuhvatljiv; međutim, vjeruje se da se zlonamjerni softver može primijeniti ili preko sigurnosne ranjivosti ili direktnog fizičkog pristupa ciljnom uređaju.

 

Funkcionisanje

Jednom instaliran na ciljnom uređaju, LianSpy počinje svoje tajne operacije. Prvo utvrđuje da li radi sa administratorskim privilegijama da bi radio u skrivenom režimu u pozadini. Ako nije, zahteva širok spektar dozvola koje dozvoljavaju pristup kontaktima, evidencijama poziva i obavještenjima, kao i mogućnost crtanja preklapanja na vrhu ekrana.

Da bi izbjegao otkrivanje uz upotrebu analitičkih okruženja ili okruženja otklanjanja grešaka, LianSpy provjerava njihovo prisustvo pre nego što učita svoju konfiguraciju. Ova konfiguracija se čuva lokalno u SharedPreferences, obezbeđujući da se zadrži između ponovnog pokretanja uređaja. Podaci na koje cilja ovaj špijunski softver uključuju određene aplikacije i informacije kao što su snimci ekrana i podaci.

Da bi ažurirao svoju konfiguraciju i dobio nova uputstva, LianSpy traži određeni obrazac datoteke u Yandex Disk skladištu pod kontrolom zlonamjernog aktera svakih 30 sekundi. Ovo omogućava zlonamjernim akterima da daljinski mijenjaju njegovo ponašanje ili dodaju novu funkcionalnost po potrebi. Upotreba Yandex Disk skladišta takođe dodaje dodatni sloj složenosti i otežava sigurnosnim istraživačima da otkriju i analiziraju LianSpy uzorke.

 

Mogućnosti

Mogućnosti LianSpy zlonamjernog softvera prevazilaze osnove tipičnog zlonamjernog softvera. Može da prikuplja obavještajne podatke iz popularnih aplikacija za razmjenu trenutnih poruka u Rusiji, dozvoljavajući ili odbacujući njegovo izvršenje na osnovu mrežnih veza (Wi-Fi ili mobilne mreže), pa čak i postavlja određene vremenske intervale za pravljenje snimaka ekrana i eksfiltraciju podataka. Ovaj zlonamjerni softver je dizajniran da opstane tokom ponovnog pokretanja uređaja tako što podešava konfiguracije koje skrivaju njegovu ikonu od pokretača i pokreću određene aktivnosti prilikom pokretanja.

Još jedna funkcija koja povećava prikrivenost na dugoj listi LianSpy mogućnosti je upotreba “NotificationListenerService” usluge za suzbijanje obavještenja sa ključnim frazama kao što su “using battery” ili “running in the background”. Ova tehnika pomaže u sprečavanju otkrivanja sakrivanjem svake sumnjive aktivnosti od korisnika.

 

Ciljani korisnici

Primarne mete zlonamjernog softvera su korisnici u Rusiji, a neki dokazi sugerišu da je možda razvijen posebno za ovu demografsku kategoriju. Nekonvencionalni pristupi koje koristi ovaj zlonamjerni softver potencijalno bi se mogli primijeniti i na druge regione, pošto su  čvrsto kodirane fraze su uključene i za engleski i za ruski, što ukazuje na jasan fokus na ove jezičke grupe. Međutim, upotreba čvrsto kodiranih fraza za obavještenja i podrazumijevanih konfiguracija koje sadrže nazive paketa za popularne aplikacije za razmjenu poruka u Rusiji (kao što je Telegram) sugeriše da su ruski ciljevi trenutno prioritet.

 

Komunikacija

LianSpy komunikacija sa serverom za komandu i kontrolu (C2) je jednosmjerna, što znači da zlonamjerni softver samo šalje podatke C2 serveru i ne prima nikakve dolazne komande. Zlonamjerni softver samostalno sprovodi provjere ažuriranja i eksfiltraciju podataka na osnovu svoje trenutne konfiguracije. Podaci koje je eksfiltrira ovaj zlonamjerni softver se  šifruju pomoću robusne šeme šifrovanja pre nego što se pošalju na C2 server, što otežava bezbjednosnim istraživačima ili drugim zlonamjernim akterima da presretnu i dešifruju ove informacije. Zlonamjerni akteri koji stoje iza LianSpy pokazali su visok nivo sofisticiranosti u svojim metodama, osiguravajući da mogu efikasno prikupljati osjetljive podatke sa kompromitovanih uređaja bez skretanja pažnje na svoje zlonamjerne aktivnosti.

 

Zloupotreba servisa u oblaku

LianSpy koristi Yandex Disk i za prenos ukradenih podataka i za čuvanje konfiguracijski komandi. Akreditivi za pristup Yandex Disk platformi se ažuriraju sa tvrdo kôdirane Pastebin adrese, koja varira u zavisnosti od različitih varijanti zlonamjernog softvera. Konfiguracija za pristup ovoj usluzi uključuje dva parametra: Yandex ID i Yandex Disk OAuth tokena.

Yandex ID je jedinstveni identifikator naloga povezanog sa zlonamjernim akterom, koji bi se mogao koristiti za upravljanje različitim instancama ili konfiguracijama LianSpy zlonamjernog softvera, omogućavajući precizniju kontrolu nad njegovim aktivnostima. Yandex Disk OAuth token služi kao akreditiv za autentifikaciju koji dozvoljava pristup Yandex Disk nalogu zlonamjernog aktera. Ovaj token koristi zlonamjerni softver za otpremanje ukradenih podataka ili primanje novih konfiguracijskih komandi sa udaljenog servera, omogućavajući mu da opstane i da vremenom razvija svoje mogućnosti.

Korištenje Yandex Disk usluge dodaje sloj zamagljivanja operacijama LianSpy zlonamjernog softvera,  jer koristi legitimnu uslugu za čuvanje podataka i primanje instrukcija. Ovo otežava sigurnosnim istraživačima ili drugim entitetima da otkriju, pripisuju i ometaju njegove aktivnosti.

 

ZAKLJUČAK

LianSpy predstavlja značajnu prijetnju korisnicima Android pametnih uređaja, posebno onima koji se nalaze u Rusiji ili koriste popularne aplikacije za razmjenu poruka u tom regionu. Njegove sofisticirane tehnike i nekonvencionalne metode otežavaju otkrivanje i uklanjanje sa zaraženih uređaja. Njegova sposobnost da se preruši u pouzdane aplikacije, zahtjevi za opsežnim dozvolama, sposobnost izbjegavanja otkrivanje od sigurnosnih istraživača i okruženja za otklanjanje grešaka i ažuriranje konfiguracije u realnom vremenu čini ga nevjerovatno opasnim protivnikom koji može da ugrozi osvetljive informacije na zaraženim uređajima.

Jedan od najintrigantnijih aspekata LianSpy zlonamjernog softvera je njegova upotreba legitimnih platformi kao što su Yandex Disk i usluge Pastebin za eksfiltraciju podataka i komunikaciju sa C2 serverom. Koristeći ove naizgled bezopasne usluge, zlonamjerni akter je dodao dodatni sloj složenosti naporima pripisivanja. Ova nova Android prijetnja ne pokazuje preklapanje sa tekućim kampanjama zlonamjernog softvera koje ciljaju ruske korisnike, što je čini jedinstvenim entitetom u okruženju sajber bezbjednosti.

Posljedice aktivnosti LianSpy zlonamjernog softvera mogu biti razorne za njegove žrtve. Krađa sadržaja trenutnih poruka može dovesti do krađe identiteta ili čak do ucjene. Štaviše, snimci ekrana koje je snimio ovaj špijunski softver mogu otkriti osvetljive informacije koje bi mogle dodatno da ugroze privatnost i bezbjednost korisnika. Zbog toga je ovaj zlonamjerni softver dobar podsjetnik da se sajber prijetnje stalno razvijaju i da se korisnici moraju prilagoditi da bi bili ispred opasnosti.

 

ZAŠTITA

Da biste se korisnici zaštitili od LianSpy zlonamjernog softver, mogu pratiti sljedeće preporuke:

  1. Preuzimati aplikacije samo iz zvaničnih prodavnica, ali imati na umu da zlonamjerni softver i dalje može da se infiltrira čak i u njih. Biti oprezan sa svom neželjenom elektronskom poštom ili porukama koje sadrže veze za preuzimanje aplikacija,
  2. Redovno ažurirati operativni sistem uređaja. Ne može se svaki zlonamjerni softver prilagoditi novim bezbjednosnim funkcijama ugrađenim u operativni sistem, tako da je redovno ažuriranje uređaja neophodno za zaštitu od poznatih ranjivosti,
  3. Koristiti dobro poznate aplikacije od pouzdanih programera. Držati se renomiranih prodavnica aplikacija i programera sa dokazanim iskustvom u pružanju bezbjednog softvera. Biti oprezan sa svim aplikacijama koje traže nepotrebne dozvole ili imaju sumnjivo ponašanje,
  4. Instalirati pouzdan paket antivirusnog softvera koji može pomoći u otkrivanju i uklanjanju špijunskog softvera sa uređaja. Redovno skenirati uređaj kao bi se osiguralo da nema prijetnji,
  5. Koristiti jake lozinke i omogućite autentifikaciju u dva koraka za sve naloge povezane sa Android pametnim uređajima. Ovo će otežati zlonamjernim akterima da dobiju neovlašteni pristup osvetljivim informacijama,
  6. Biti oprezan prilikom klikova na veze ili prilikom preuzimanja priloga, posebno ako potiču iz nepoznatih izvora. Phishing napadi su uobičajena taktika koju koriste zlonamjerni akteri za distribuciju špijunskog i drugog zlonamjernog softvera,
  7. Redovno pregledati dozvole kojima aplikacije imaju pristup na uređaju. Ograničite količinu osjetljivih informacija kojima aplikacije mogu da pristupe i opozvati sve nepotrebne dozvole za aplikacije koje se više ne koriste ili koje nisu od povjerenja,
  8. Koristiti virtualnu privatnu mrežu (VPN) kada se koriste javne Wi-Fi mreže. Ovo će pomoći u zaštiti podataka od presretanja od strane zlonamjernih aktera koji bi mogli biti na istoj mreži,
  9. Informisati se o najnovijim prijetnjama i trendovima u vezi sa sajber bezbjednošću, tako da se na osnovu dobijenih informacija mogu poduzimati odgovarajuće mjere zaštite Android pametnih uređaja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.