Desde pelo menos 2021, usuários na Rússia têm sido alvos de um spyware Android conhecido como LianSpy, que não havia sido documentado anteriormente. A empresa de segurança cibernética Kaspersky identificou o malware em março de 2024 e relatou que utiliza o Yandex Cloud, um serviço de nuvem russo, para suas comunicações de comando e controle (C2), evitando assim a necessidade de uma infraestrutura dedicada e evitando a detecção.
“O LianSpy é capaz de capturar screencasts, extrair arquivos de usuários e coletar registros de chamadas e listas de aplicativos”, explicou o pesquisador de segurança Dmitry Kalinin em um relatório técnico publicado na segunda-feira.
O método de distribuição do spyware permanece obscuro. No entanto, ele pode ser implantado por meio de uma vulnerabilidade de segurança não corrigida ou acesso físico ao dispositivo alvo. Os aplicativos infectados são disfarçados como Alipay ou um serviço do sistema Android.
Após a ativação, o LianSpy determina se ele opera como um aplicativo do sistema, permitindo que ele seja executado em segundo plano com privilégios de administrador, ou se ele precisa solicitar permissões extensivas para acessar contatos, registros de chamadas, notificações e recursos de sobreposição. Ele também verifica se há um ambiente de depuração para garantir sua persistência em reinicializações e oculta seu ícone do inicializador, acionando ações como captura de tela, exfiltração de dados e atualizações de configuração.
Em algumas versões, o LianSpy também pode coletar dados de aplicativos populares de mensagens instantâneas na Rússia e tem opções para restringir suas operações com base na conectividade de rede, como Wi-Fi ou redes móveis.
Kalinin observou: “Para atualizar a configuração do spyware, o LianSpy procura um arquivo com a expressão regular ‘^frame_.+\.png$‘ no Yandex Disk de um agente de ameaça a cada 30 segundos. Se encontrado, o arquivo é baixado no diretório de dados interno do aplicativo.”
Os dados roubados são armazenados em um formato criptografado em um banco de dados SQL, especificando o tipo de registro e seu hash SHA-256, permitindo que apenas o agente de ameaça com a chave RSA privada correspondente descriptografe as informações.
Os recursos de furtividade do LianSpy são evidentes em sua evasão dos indicadores de privacidade introduzidos pelo Google no Android 12, que normalmente exibem um ícone de barra de status para aplicativos que usam o microfone ou a câmera.
“Os desenvolvedores do LianSpy contornaram esse recurso alterando o parâmetro de configuração segura do Android icon_blacklist para evitar que esses ícones de notificação apareçam”, destacou Kalinin.
Além disso, o malware usa um binário su modificado chamado “mu” para obteracesso root, sugerindo que ele pode ser instalado por meio de um exploit desconhecido ou acesso físico ao dispositivo.
A estratégia do LianSpy para permanecer indetectável é ainda mais demonstrada por suas comunicações unidirecionais de comando e controle (C2), com o malware não recebendo nenhum comando de entrada. Em vez disso, ele usa o serviço Yandex Disk para exfiltrar dados roubados e recuperar comandos de configuração.
As credenciais para acessar o Yandex Disk são atualizadas dinamicamente a partir de uma URL Pastebin codificada, que difere entre várias variantes de malware. Ao utilizar serviços legítimos, o LianSpy adiciona uma camada adicional de ofuscação, complicando os esforços para rastrear suas origens.
O LianSpy é o mais recente em uma crescente variedade de ferramentas de spyware que têm como alvo dispositivos móveis, sejam Android ou iOS, frequentemente explorando vulnerabilidades de dia zero.
“Além das atividades típicas de espionagem, como coletar registros de chamadas e listas de aplicativos, o LianSpy emprega privilégios de root para conduzir gravações de tela secretas e evitar a detecção”, explicou Kalinin. “Seu uso de um binário su renomeado indica que provavelmente representa uma infecção secundária, após um comprometimento inicial.”
Fonte: TheHackerNews
