Специалисты «Лаборатории Касперского» обнаружили шпионский троян LianSpy. Этот вредонос применяется в кибершпионской кампании, нацеленной на конкретных владельцев Android-устройств в России. Исследователи пишут, что кампания длится уже не первый год (предположительно, с июля 2021 года) и по сей день представляет угрозу.
«Принимая во внимание факт, что ключевые фразы для фильтрации уведомлений частично прописаны на русском языке, а также то, что некоторые из стандартных конфигураций вариантов LianSpy содержат названия пакетов мессенджеров, широко распространенных среди российских пользователей, мы предполагаем, что эта программа-шпион нацелена на пользователей из России», — рассказывают специалисты.
В своем отчете эксперты сообщают, что LianSpy способен записывать экран устройства при открытии определенных приложений (преимущественно мессенджеров), похищать документы пользователей, сохранять данные журналов вызовов и собирать списки приложений. При этом подчеркивается, что атакующих не интересует финансовая информация жертв.
Злоумышленники, стоящие за этой малварью, действуют скрытно: вместо собственной инфраструктуры они используют «Яндекс Диск» в качестве управляющего сервера, а также задействуют различные средства защиты от обнаружения.
По некоторым признакам эксперты предполагают, что LianSpy, скорее всего, внедряется в системы жертв после эксплуатации неизвестной уязвимости или при физическом доступе к телефону.
«Зловред использует бинарный файл su, необходимый для получения root-доступа, с измененным именем. Исследованные образцы вредоносного ПО пытаются найти бинарный файл mu в стандартных каталогах su. Скорее всего, таким образом злоумышленник старается скрыть факт активации root-привилегий на устройстве жертвы. Такая зависимость от модифицированного бинарного файла позволяет предположить, что эта программа-шпион доставляется на устройство в результате эксплуатации неизвестной уязвимости или посредством физического доступа к телефону жертвы», — говорят исследователи.
При запуске вредоносное приложение проверяет, запущено ли оно как системное, — в этом случае необходимые для работы разрешения выдаются автоматически. В противном случае малварь запрашивает разрешения на отображение поверх других окон, доступ к уведомлениям и выполнение в фоновом режиме, а также такие необходимые права доступа, как чтение списка контактов и журналов вызовов
После запуска LianSpy скрывает свою иконку и работает в фоновом режиме, чтобы избежать обнаружения, после чего активно использует права суперпользователя (root-права) — таким образом у получая полный контроль над устройством и возможность скрывать свою активность.
Например, LianSpy может обходить уведомления Android, явно показывающие, что в данный момент на телефоне используется камера или микрофон — LianSpy отключает иконку в статус-баре, которая появляется во время записи экрана. Также LianSpy скрывает уведомления от вызываемых фоновых сервисов с помощью службы NotificationListenerService, которая обрабатывает уведомления и может удалять их из строки состояния.
Для обновления своей конфигурации LianSpy каждые 30 секунд ищет на «Яндекс Диске» злоумышленников файл, соответствующий регулярному выражению ^frame_.+\\\.png$. Если файл найден, он загружается во внутренний каталог данных приложения. Затем малварь расшифровывает оверлей (данные, записанные после полезной нагрузки) в загруженном файле с помощью заданного в коде ключа для AES-шифрования. После средство обновления конфигурации пытается найти в расшифрованной полезной нагрузке набор подстрок, изменяющих конфигурацию LianSpy.
Примечательно, что, помимо обновления конфигурации, коммуникация между управляющим сервером и LianSpy осуществляется в одностороннем порядке: малварь не получает с «Яндекс Диска» больше никаких команд. В зависимости от конфигурации вредонос выполняет поиск обновлений и кражу данных.
При этом учетные данные «Яндекс Диска» обновляются с заданной в коде вредоноса страницы pastebin, которая может отличаться от варианта к варианту.
Отмечается, что LianSpy использует необычные для мобильной спайвари техники. Например, он применяет комбинацию симметричного и асимметричного шифрования, и не использует какую-либо приватную инфраструктуру — только публичные сервисы. По словам исследователей, все это затрудняет процесс атрибуции кампании какой-либо группе атакующих.
Кроме того, троян нестандартно использует root-права для сокрытия факта повышения привилегий. Это дает основания предполагать, что вредонос предназначен для постэксплуатациони, то есть активизируется уже после использования уязвимостей.
Специалисты резюмируют, что эта угроза не имеет сходства с другими текущими кампаниями, нацеленными на российских пользователей.
