Gebruikers in Rusland zijn het doelwit geweest van een eerder niet-gedocumenteerde Android-spyware na een compromittering, genaamd LianSpy sinds ten minste 2021.
Cybersecurityleverancier Kaspersky, die de malware in maart 2024 ontdekte, gaf aan dat het voor command-and-control (C2)-communicatie gebruikmaakt van Yandex Cloud, een Russische clouddienst, om zo een speciale infrastructuur te vermijden en detectie te omzeilen.
“Deze bedreiging is uitgerust om screencasts te onderscheppen, gebruikersbestanden te exfiltreren en oproeplogboeken en app-lijsten te verzamelen”, aldus beveiligingsonderzoeker Dmitry Kalinin in een nieuw technisch rapport dat maandag is gepubliceerd.
Het is momenteel niet duidelijk hoe de spyware wordt verspreid, maar de Russische cybersecurity-leverancier wordt waarschijnlijk ingezet via een onbekend beveiligingslek of directe fysieke toegang tot de doeltelefoon. De met malware doorspekte apps zijn vermomd als Alipay of een Android-systeemservice.
Zodra LianSpy is geactiveerd, bepaalt het of het als een systeem-app op de achtergrond draait met behulp van beheerdersrechten, of dat het een breed scala aan machtigingen vraagt waarmee het toegang krijgt tot contacten, gesprekslogboeken en meldingen, en overlays op het scherm kan tekenen.
Ook wordt gecontroleerd of het in een foutopsporingsomgeving wordt uitgevoerd om een configuratie in te stellen die blijft bestaan na opnieuw opstarten. Vervolgens wordt het pictogram verborgen in de launcher en worden activiteiten geactiveerd, zoals het maken van screenshots, het exfiltreren van gegevens en het bijwerken van de configuratie om aan te geven welke soorten informatie moeten worden vastgelegd.
In sommige varianten is gebleken dat dit opties omvat om gegevens te verzamelen van populaire instant messaging-apps in Rusland, en om het uitvoeren van de malware alleen toe te staan of te verbieden als deze verbonden is met wifi of een mobiel netwerk, onder andere.
“Om de spywareconfiguratie bij te werken, zoekt LianSpy elke 30 seconden naar een bestand dat overeenkomt met de reguliere expressie “^frame_.+\.png$” op de Yandex Disk van een dreigingsactor,” zei Kalinin. “Als het bestand wordt gevonden, wordt het gedownload naar de interne gegevensdirectory van de applicatie.”
De verzamelde gegevens worden in gecodeerde vorm opgeslagen in een SQL-databasetabel, waarbij het type record en de SHA-256-hash worden gespecificeerd. Alleen een kwaadwillende actor die in het bezit is van de bijbehorende persoonlijke RSA-sleutel, kan de gestolen informatie decoderen.
LianSpy toont zijn stealth-kwaliteiten door de mogelijkheid om de privacy-indicatorfunctie te omzeilen die Google in Android 12 introduceerde. Deze functie vereist dat apps die toestemming vragen voor de microfoon en camera een statusbalkpictogram weergeven.
“De ontwikkelaars van LianSpy zijn erin geslaagd deze beveiliging te omzeilen door een cast-waarde toe te voegen aan de beveiligde Android-instellingsparameter icon_blacklist. Hierdoor worden er geen meldingspictogrammen in de statusbalk weergegeven”, aldus Kalinin.
“LianSpy verbergt meldingen van achtergrondservices die het aanroept door gebruik te maken van de NotificationListenerService die statusbalkmeldingen verwerkt en deze kan onderdrukken.”
Een ander geavanceerd aspect van de malware is het gebruik van het su binaire bestand met een gewijzigde naam “mu” om root-toegang te verkrijgen. Dit vergroot de kans dat het is verspreid via een voorheen onbekende exploit of via fysieke toegang tot het apparaat.
LianSpy’s nadruk op het onder de radar vliegen blijkt ook uit het feit dat C2-communicaties unidirectioneel zijn, waarbij de malware geen inkomende opdrachten ontvangt. De Yandex Disk-service wordt gebruikt voor het verzenden van gestolen gegevens en het opslaan van configuratieopdrachten.
Credentials voor Yandex Disk worden bijgewerkt vanaf een hard-coded Pastebin URL, die varieert per malwarevariant. Het gebruik van legitieme services voegt een laag van verduistering toe, wat de attributie effectief vertroebelt.
LianSpy is de nieuwste toevoeging aan een groeiende lijst van spywaretools, die vaak worden geleverd aan mobiele apparaten – of het nu Android of iOS is – door gebruik te maken van zero-day-lekken.
“Naast standaard spionagetactieken zoals het oogsten van oproeplogboeken en app-lijsten, maakt het gebruik van root-privileges voor geheime schermopname en ontwijking”, aldus Kalinin. “De afhankelijkheid van een hernoemde su binary suggereert sterk secundaire infectie na een eerste compromis.”
