自2021年起，俄羅斯用戶已成為一種新型未被記錄的安卓后門間諜軟件“LianSpy”的攻擊目標(biāo)。

網(wǎng)絡(luò)安全公司卡巴斯基在2024年3月發(fā)現(xiàn)了這款惡意軟件，并指出其利用俄羅斯的云服務(wù)Yandex Cloud進(jìn)行命令和控制（C2）通信，以避免設(shè)立專用基礎(chǔ)設(shè)施并逃避檢測。

安全研究員Dmitry Kalinin在周一發(fā)布的技術(shù)報告中表示：LianSpy能夠捕獲屏幕錄像、竊取用戶文件、收集通話記錄和應(yīng)用程序列表。

目前尚不清楚該間諜軟件的傳播方式，但卡巴斯基推測，它可能是通過未知的安全漏洞或是直接接觸目標(biāo)手機(jī)來部署的，這些帶有惡意軟件的應(yīng)用程序看起來像是支付寶或安卓系統(tǒng)的一個服務(wù)。

LianSpy一旦被激活，會先檢查自己是不是以系統(tǒng)應(yīng)用身份在運(yùn)行。如果是，它會利用管理員權(quán)限在后臺操作。如果不是，它會請求一系列權(quán)限以訪問聯(lián)系人、通話記錄、通知，甚至?xí)谑謾C(jī)屏幕上繪制覆蓋層。

它還會檢查自己是否在調(diào)試環(huán)境中運(yùn)行，以便設(shè)置一個在手機(jī)重啟后也能保持的配置。然后從手機(jī)的啟動器中隱藏圖標(biāo)，并觸發(fā)屏幕截圖、導(dǎo)出數(shù)據(jù)和更新配置等活動，以指定需要捕獲的信息類型。

某些變種被發(fā)現(xiàn)能夠收集俄羅斯流行的即時通訊應(yīng)用的數(shù)據(jù)，并根據(jù)是否連接到Wi-Fi或移動網(wǎng)絡(luò)來允許或禁止運(yùn)行惡意軟件。

Kalinin說：“為了更新間諜軟件配置，LianSpy每隔30秒會在攻擊者的Yandex Disk上搜索與正則表達(dá)式'^frame_.+.png$'匹配的文件，如果找到，文件將被下載到應(yīng)用程序的內(nèi)部數(shù)據(jù)目錄中?！?/p>

并且，收集的數(shù)據(jù)以加密形式存儲在SQL數(shù)據(jù)庫中，指定記錄類型和SHA-256哈希值，只有擁有相應(yīng)私有RSA密鑰的攻擊者才能解密竊取的信息。

LianSpy的隱蔽性體現(xiàn)在它能夠繞過谷歌在Android 12中引入的隱私指示器功能，該功能要求請求麥克風(fēng)和相機(jī)權(quán)限的應(yīng)用顯示狀態(tài)欄圖標(biāo)。LianSpy開發(fā)者通過修改Android安全設(shè)置參數(shù)，防止通知圖標(biāo)出現(xiàn)在狀態(tài)欄。

它還利用NotificationListenerService隱藏后臺服務(wù)的通知，處理并抑制狀態(tài)欄通知。

LianSpy惡意軟件的另一個復(fù)雜之處在于它使用了修改名稱為"mu"的su二進(jìn)制文件來獲取root權(quán)限，這增加了它可能是通過一個以前未知的漏洞或?qū)υO(shè)備的物理訪問來傳播的可能性。

此外，LianSpy的C2通信是單向的，只接收命令，不發(fā)送任何回應(yīng)。它使用Yandex Disk傳輸被盜數(shù)據(jù)和存儲配置命令，從硬編碼的Pastebin URL更新Yandex Disk的憑據(jù)，不同惡意軟件變種的 Pastebin URL 各不相同，使用這種合法服務(wù)增加了混淆層，追蹤LianSpy變得更加困難。

LianSpy是不斷增長的間諜軟件工具列表中的最新成員，通常利用零日漏洞攻擊目標(biāo)移動設(shè)備（無論是 Android 還是 iOS）。Kalinin表示：“除了收集通話記錄和應(yīng)用列表等標(biāo)準(zhǔn)間諜行為外，它還利用root權(quán)限進(jìn)行隱蔽的屏幕錄制，避開安全檢查，其依賴重命名的su二進(jìn)制文件，暗示了初次入侵后的二次感染?！?/p>

參考來源：https://thehackernews.com/2024/08/new-android-spyware-lianspy-evades.html