Rusya’daki kullanıcılar, daha önce belgelenmemiş bir Android saldırı sonrası casus yazılımının hedefi oldu. Lian Casusu en azından 2021’den beri.
Kötü amaçlı yazılımı Mart 2024’te keşfeden siber güvenlik sağlayıcısı Kaspersky, özel bir altyapıya sahip olmaktan ve tespit edilmekten kaçınmak için komuta ve kontrol (C2) iletişimlerinde Rus bulut hizmeti Yandex Cloud’u kullandığını belirtti.
Güvenlik araştırmacısı Dmitry Kalinin, “Bu tehdit, ekran görüntüleri yakalamak, kullanıcı dosyalarını sızdırmak, arama günlüklerini ve uygulama listelerini toplamak için donatılmış” dedi. söz konusu Pazartesi günü yayınlanan yeni bir teknik raporda.
Casus yazılımın nasıl dağıtıldığı şu anda net değil, ancak Rus şirketi, bunun muhtemelen bilinmeyen bir güvenlik açığı veya hedef telefona doğrudan fiziksel erişim yoluyla dağıtıldığını söyledi. Kötü amaçlı yazılım içeren uygulamalar, Alipay veya bir Android sistem hizmeti olarak gizlenmiştir.
LianSpy etkinleştirildiğinde, yönetici ayrıcalıklarını kullanarak arka planda çalışmak üzere bir sistem uygulaması olarak mı çalıştığını, yoksa kişilere, arama kayıtlarına ve bildirimlere erişmesini ve ekranın üstüne katmanlar çizmesini sağlayan geniş bir yelpazede izinler mi istediğini belirliyor.
Ayrıca, yeniden başlatmalar boyunca kalıcı bir yapılandırma kurmak için bir hata ayıklama ortamında yürütülüp yürütülmediğini kontrol eder, ardından simgesini başlatıcıdan gizler ve ekran görüntüsü alma, veri sızdırma ve hangi tür bilgilerin yakalanması gerektiğini belirtmek için yapılandırmasını güncelleme gibi etkinlikleri tetikler.
Bazı varyantlarda, bunun Rusya’da popüler olan anlık mesajlaşma uygulamalarından veri toplama seçeneklerinin yanı sıra, kötü amaçlı yazılımın yalnızca Wi-Fi’ye veya mobil ağa bağlı olması durumunda çalıştırılmasına izin verme veya yasaklama gibi seçenekleri de içerdiği görüldü.
“Casus yazılım yapılandırmasını güncellemek için LianSpy, her 30 saniyede bir tehdit aktörünün Yandex Disk’inde “^frame_.+\.png$” düzenli ifadesiyle eşleşen bir dosya arar,” dedi Kalinin. “Bulunursa, dosya uygulamanın dahili veri dizinine indirilir.”
Toplanan veriler, kayıt türünü ve SHA-256 karma değerini belirterek şifrelenmiş biçimde bir SQL veritabanı tablosunda saklanır; böylece yalnızca ilgili özel RSA anahtarına sahip olan tehdit aktörü çalınan bilgileri şifresini çözebilir.
LianSpy’ın gizliliğini sergilediği nokta, saldırıları atlatma yeteneğidir. gizlilik göstergeleri Google’ın Android 12’de tanıttığı, mikrofon ve kamera izni isteyen uygulamaların durum çubuğu simgesi göstermesini gerektiren özellik.
Kalinin, “LianSpy geliştiricileri, Android güvenli ayar parametresi icon_blacklist’e bildirim simgelerinin durum çubuğunda görünmesini engelleyen bir döküm değeri ekleyerek bu korumayı aşmayı başardılar” dedi.
“LianSpy, durum çubuğu bildirimlerini işleyen ve bunları bastırabilen NotificationListenerService’i kullanarak çağırdığı arka plan servislerinden gelen bildirimleri gizler.”
Kötü amaçlı yazılımın bir diğer karmaşık yönü de, su ikili kök erişimi elde etmek için “mu” adı değiştirilerek, daha önce bilinmeyen bir istismar veya fiziksel cihaz erişimi yoluyla iletilmiş olma ihtimali artırıldı.
LianSpy’ın radar altında uçmaya verdiği önem, C2 iletişimlerinin tek yönlü olması ve kötü amaçlı yazılımın gelen hiçbir komutu almaması gerçeğinde de kanıtlanmıştır. Yandex Disk hizmeti hem çalınan verileri iletmek hem de yapılandırma komutlarını depolamak için kullanılır.
Yandex Disk için kimlik bilgileri, kötü amaçlı yazılım varyantlarına göre değişen sabit kodlu bir Pastebin URL’sinden güncellenir. Meşru hizmetlerin kullanımı, atıfları etkili bir şekilde bulandıran bir karartma katmanı ekler.
LianSpy, çoğunlukla sıfırıncı gün açıklarından yararlanarak mobil cihazları (Android veya iOS) hedef alan, giderek artan sayıda casus yazılım aracının arasına eklenen en son üründür.
Kalinin, “Arama kayıtları ve uygulama listeleri toplamak gibi standart casusluk taktiklerinin ötesinde, gizli ekran kaydı ve kaçınma için kök ayrıcalıklarından yararlanıyor,” dedi. “Yeniden adlandırılmış bir su ikilisine güvenmesi, ilk uzlaşmanın ardından ikincil bir enfeksiyonu güçlü bir şekilde akla getiriyor.”