LianSpy Mobile Spyware
Seit mindestens 2021 sind Benutzer in Russland das Ziel einer bisher nicht dokumentierten Android-Post-Compromise-Spyware namens LianSpy. Cybersicherheitsforscher entdeckten diese Malware im März 2024. Experten wiesen darauf hin, dass sie die Yandex Cloud, einen russischen Cloud-Dienst, für Command-and-Control-Kommunikation (C2) nutzt, wodurch sie eine dedizierte Infrastruktur umgehen und der Erkennung entgehen kann. LianSpy kann Screencasts erfassen, Benutzerdateien exfiltrieren und Anrufprotokolle und App-Listen sammeln.
Die Verbreitungsmethode dieser Spyware ist noch unklar, aber Forscher vermuten, dass sie wahrscheinlich entweder über eine unbekannte Sicherheitslücke oder über direkten physischen Zugriff auf das Zieltelefon verbreitet wird. Die mit Malware versehenen Anwendungen sind als Alipay oder Android-Systemdienst getarnt.
Inhaltsverzeichnis
Wie funktioniert die LianSpy-Spyware?
Nach der Aktivierung ermittelt LianSpy, ob es als System-App ausgeführt wird, um im Hintergrund mit Administratorrechten zu arbeiten. Wenn nicht, fordert es eine Vielzahl von Berechtigungen an, um auf Kontakte, Anrufprotokolle, Benachrichtigungen und das Zeichnen von Overlays auf dem Bildschirm zuzugreifen.
Die Spyware prüft außerdem, ob sie in einer Debugging-Umgebung ausgeführt wird, um eine Konfiguration einzurichten, die auch nach Neustarts bestehen bleibt. Anschließend verbirgt sie ihr Symbol im Launcher und löst Aktivitäten aus, wie z. B. das Erstellen von Screenshots, das Exfiltrieren von Daten und das Aktualisieren ihrer Konfiguration, um die zu erfassenden Informationstypen anzugeben.
In einigen Varianten beinhaltet LianSpy Optionen zum Sammeln von Daten aus beliebten Instant-Messaging-Anwendungen in Russland und zur Steuerung, ob die Malware nur bei einer Verbindung mit WLAN oder einem Mobilfunknetz ausgeführt wird, neben anderen Einstellungen.
Um seine Konfiguration zu aktualisieren, sucht LianSpy alle 30 Sekunden auf der Yandex-Festplatte eines Bedrohungsakteurs nach einer Datei, die dem regulären Ausdruck „^frame_.+.png$“ entspricht. Wird die Datei gefunden, wird sie in das interne Datenverzeichnis der Anwendung heruntergeladen.
Die Stealth-Fähigkeiten der LianSpyware
Die gesammelten Daten werden verschlüsselt und in einer SQL-Datenbanktabelle gespeichert, die den Datentyp und seinen SHA-256-Hash aufzeichnet. Nur ein Bedrohungsakteur mit dem entsprechenden privaten RSA-Schlüssel kann diese gestohlenen Informationen entschlüsseln.
LianSpy demonstriert seine Tarnung, indem es die in Android 12 eingeführte Funktion für Datenschutzindikatoren umgeht, die von Anwendungen, die Mikrofon- und Kameraberechtigungen anfordern, die Anzeige eines Statusleistensymbols verlangt.
Den Entwicklern von LianSpy ist es gelungen, diesen Schutz zu umgehen, indem sie dem Android-Sicherheitseinstellungsparameter „icon_blacklist“ einen Cast-Wert anhängen, der verhindert, dass Benachrichtigungssymbole in der Statusleiste angezeigt werden. Darüber hinaus verbirgt LianSpy Benachrichtigungen von Hintergrunddiensten, die es aufruft, indem es den „NotificationListenerService“ verwendet, um Benachrichtigungen in der Statusleiste zu verarbeiten und zu unterdrücken.
Bedrohungsakteure nutzen zunehmend legitime Dienste aus
Eine ausgeklügelte Funktion von LianSpy besteht darin, die Binärdatei „su“, die in „mu“ umbenannt wurde, zu verwenden, um Root-Zugriff zu erhalten. Dies deutet darauf hin, dass die Malware wahrscheinlich entweder über einen unbekannten Exploit oder über physischen Zugriff auf das Gerät übertragen wird.
LianSpy legt außerdem Wert auf Tarnung, indem es unidirektionale Command-and-Control-Kommunikation (C2) implementiert, was bedeutet, dass die Malware keine eingehenden Befehle empfängt. Es verwendet Yandex Disk sowohl zum Übertragen der gesammelten Daten als auch zum Speichern von Konfigurationsbefehlen.
Die Anmeldeinformationen für Yandex Disk werden über eine fest codierte Pastebin-URL aktualisiert, die je nach Malware-Variante unterschiedlich ist. Die Verwendung legitimer Dienste fügt eine zusätzliche Verschleierungsebene hinzu, die die Zuordnung erschwert.
Als neuster Eintrag in einer wachsenden Anzahl von Spyware-Tools zielt LianSpy auf mobile Geräte – sowohl Android als auch iOS – ab, indem es Zero-Day-Schwachstellen ausnutzt. Zusätzlich zu Standard-Spionagetaktiken wie dem Sammeln von Anrufprotokollen und Anwendungslisten verwendet es Root-Rechte für die verdeckte Bildschirmaufzeichnung und -umgehung. Die Verwendung einer umbenannten „su“-Binärdatei lässt darauf schließen, dass es sich nach einer anfänglichen Kompromittierung um eine Sekundärinfektion handeln könnte.
