Los usuarios de Rusia han sido el objetivo de un software esp\u00eda de Android no documentado previamente llamado LianSpy<\/strong> desde al menos 2021.<\/p>\n El proveedor de ciberseguridad Kaspersky, que descubri\u00f3 el malware en marzo de 2024, se\u00f1al\u00f3 su uso de Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2) como una forma de evitar tener una infraestructura dedicada y evadir la detecci\u00f3n.<\/p>\n “Esta amenaza est\u00e1 equipada para capturar capturas de pantalla, exfiltrar archivos de usuario y recolectar registros de llamadas y listas de aplicaciones”, dijo el investigador de seguridad Dmitry Kalinin. dicho<\/a> en un nuevo informe t\u00e9cnico publicado el lunes.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se distribuye el software esp\u00eda, pero es probable que el proveedor ruso de ciberseguridad lo haya implementado a trav\u00e9s de una falla de seguridad desconocida o de un acceso f\u00edsico directo al tel\u00e9fono objetivo. Las aplicaciones infectadas con malware se hacen pasar por Alipay o un servicio del sistema Android.<\/p>\n LianSpy, una vez activado, determina si se ejecuta como una aplicaci\u00f3n del sistema para operar en segundo plano utilizando privilegios de administrador o solicita una amplia gama de permisos que le permiten acceder a contactos, registros de llamadas y notificaciones, y dibujar superposiciones sobre la pantalla.<\/p>\n Tambi\u00e9n verifica si se est\u00e1 ejecutando en un entorno de depuraci\u00f3n para configurar una configuraci\u00f3n que persista despu\u00e9s de los reinicios, luego oculta su \u00edcono del iniciador y activa actividades como tomar capturas de pantalla, exfiltrar datos y actualizar su configuraci\u00f3n para especificar qu\u00e9 tipo de informaci\u00f3n debe capturarse.<\/p>\n En algunas variantes, se ha descubierto que esto incluye opciones para recopilar datos de aplicaciones de mensajer\u00eda instant\u00e1nea populares en Rusia, as\u00ed como permitir o prohibir la ejecuci\u00f3n del malware solo si est\u00e1 conectado a Wi-Fi o a una red m\u00f3vil, entre otros.<\/p>\n “Para actualizar la configuraci\u00f3n del software esp\u00eda, LianSpy busca cada 30 segundos un archivo que coincida con la expresi\u00f3n regular “^frame_.+\\.png$” en el disco Yandex del actor de amenazas”, explic\u00f3 Kalinin. “Si lo encuentra, el archivo se descarga en el directorio de datos interno de la aplicaci\u00f3n”.<\/p>\n Los datos recolectados se almacenan de forma cifrada en una tabla de base de datos SQL, especificando el tipo de registro y su hash SHA-256, de modo que solo un actor de amenazas en posesi\u00f3n de la clave RSA privada correspondiente pueda descifrar la informaci\u00f3n robada.<\/p>\n Donde LianSpy demuestra su sigilo es en su capacidad de eludir el indicadores de privacidad<\/a> funci\u00f3n introducida por Google en Android 12, que requiere que las aplicaciones que solicitan permisos de micr\u00f3fono y c\u00e1mara muestren un \u00edcono en la barra de estado. <\/p>\n “Los desarrolladores de LianSpy han logrado eludir esta protecci\u00f3n a\u00f1adiendo un valor de conversi\u00f3n al par\u00e1metro de configuraci\u00f3n segura de Android icon_blacklist, que impide que los iconos de notificaci\u00f3n aparezcan en la barra de estado”, se\u00f1al\u00f3 Kalinin.<\/p>\n “LianSpy oculta las notificaciones de los servicios en segundo plano que llama aprovechando el NotificationListenerService que procesa las notificaciones de la barra de estado y puede suprimirlas”.<\/p>\n Otro aspecto sofisticado del malware implica el uso de la su binario<\/a> con un nombre modificado “mu” para obtener acceso root, lo que aumenta la posibilidad de que probablemente se haya distribuido a trav\u00e9s de un exploit previamente desconocido o un acceso a un dispositivo f\u00edsico.<\/p>\n El \u00e9nfasis de LianSpy en pasar desapercibido tambi\u00e9n se evidencia en el hecho de que las comunicaciones C2 son unidireccionales, ya que el malware no recibe ning\u00fan comando entrante. El servicio Yandex Disk se utiliza para transmitir datos robados y almacenar comandos de configuraci\u00f3n.<\/p>\n Las credenciales de Yandex Disk se actualizan desde una URL de Pastebin codificada, que var\u00eda seg\u00fan las variantes del malware. El uso de servicios leg\u00edtimos agrega una capa de ofuscaci\u00f3n que enturbia la atribuci\u00f3n.<\/p>\n LianSpy es la \u00faltima incorporaci\u00f3n a una lista cada vez mayor de herramientas de software esp\u00eda que a menudo se env\u00edan a dispositivos m\u00f3viles espec\u00edficos (ya sean Android o iOS) aprovechando fallas de d\u00eda cero.<\/p>\n “M\u00e1s all\u00e1 de las t\u00e1cticas de espionaje habituales, como la recopilaci\u00f3n de registros de llamadas y listas de aplicaciones, aprovecha los privilegios de root para realizar grabaciones de pantalla encubiertas y evadir ataques”, afirm\u00f3 Kalinin. “Su dependencia de un binario su renombrado sugiere firmemente una infecci\u00f3n secundaria tras un ataque inicial”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-nuevo-software-espia-para-Android-LianSpy-evita-la-deteccion.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n