Los usuarios de Rusia han sido el objetivo de un software espía de Android no documentado previamente llamado LianSpy desde al menos 2021.
El proveedor de ciberseguridad Kaspersky, que descubrió el malware en marzo de 2024, señaló su uso de Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2) como una forma de evitar tener una infraestructura dedicada y evadir la detección.
«Esta amenaza está equipada para capturar capturas de pantalla, exfiltrar archivos de usuario y recolectar registros de llamadas y listas de aplicaciones», dijo el investigador de seguridad Dmitry Kalinin. dicho en un nuevo informe técnico publicado el lunes.
Actualmente no está claro cómo se distribuye el software espía, pero es probable que el proveedor ruso de ciberseguridad lo haya implementado a través de una falla de seguridad desconocida o de un acceso físico directo al teléfono objetivo. Las aplicaciones infectadas con malware se hacen pasar por Alipay o un servicio del sistema Android.
LianSpy, una vez activado, determina si se ejecuta como una aplicación del sistema para operar en segundo plano utilizando privilegios de administrador o solicita una amplia gama de permisos que le permiten acceder a contactos, registros de llamadas y notificaciones, y dibujar superposiciones sobre la pantalla.
También verifica si se está ejecutando en un entorno de depuración para configurar una configuración que persista después de los reinicios, luego oculta su ícono del iniciador y activa actividades como tomar capturas de pantalla, exfiltrar datos y actualizar su configuración para especificar qué tipo de información debe capturarse.
En algunas variantes, se ha descubierto que esto incluye opciones para recopilar datos de aplicaciones de mensajería instantánea populares en Rusia, así como permitir o prohibir la ejecución del malware solo si está conectado a Wi-Fi o a una red móvil, entre otros.
«Para actualizar la configuración del software espía, LianSpy busca cada 30 segundos un archivo que coincida con la expresión regular «^frame_.+\.png$» en el disco Yandex del actor de amenazas», explicó Kalinin. «Si lo encuentra, el archivo se descarga en el directorio de datos interno de la aplicación».
Los datos recolectados se almacenan de forma cifrada en una tabla de base de datos SQL, especificando el tipo de registro y su hash SHA-256, de modo que solo un actor de amenazas en posesión de la clave RSA privada correspondiente pueda descifrar la información robada.
Donde LianSpy demuestra su sigilo es en su capacidad de eludir el indicadores de privacidad función introducida por Google en Android 12, que requiere que las aplicaciones que solicitan permisos de micrófono y cámara muestren un ícono en la barra de estado.
«Los desarrolladores de LianSpy han logrado eludir esta protección añadiendo un valor de conversión al parámetro de configuración segura de Android icon_blacklist, que impide que los iconos de notificación aparezcan en la barra de estado», señaló Kalinin.
«LianSpy oculta las notificaciones de los servicios en segundo plano que llama aprovechando el NotificationListenerService que procesa las notificaciones de la barra de estado y puede suprimirlas».
Otro aspecto sofisticado del malware implica el uso de la su binario con un nombre modificado «mu» para obtener acceso root, lo que aumenta la posibilidad de que probablemente se haya distribuido a través de un exploit previamente desconocido o un acceso a un dispositivo físico.
El énfasis de LianSpy en pasar desapercibido también se evidencia en el hecho de que las comunicaciones C2 son unidireccionales, ya que el malware no recibe ningún comando entrante. El servicio Yandex Disk se utiliza para transmitir datos robados y almacenar comandos de configuración.
Las credenciales de Yandex Disk se actualizan desde una URL de Pastebin codificada, que varía según las variantes del malware. El uso de servicios legítimos agrega una capa de ofuscación que enturbia la atribución.
LianSpy es la última incorporación a una lista cada vez mayor de herramientas de software espía que a menudo se envían a dispositivos móviles específicos (ya sean Android o iOS) aprovechando fallas de día cero.
«Más allá de las tácticas de espionaje habituales, como la recopilación de registros de llamadas y listas de aplicaciones, aprovecha los privilegios de root para realizar grabaciones de pantalla encubiertas y evadir ataques», afirmó Kalinin. «Su dependencia de un binario su renombrado sugiere firmemente una infección secundaria tras un ataque inicial».