新的 Android 间谍软件 LianSpy 利用 Yandex Cloud 逃避检测

自 2021 年以来，俄罗斯用户就一直是此前未记录的 Android 后入侵间谍软件LianSpy的目标。

网络安全供应商卡巴斯基于 2024 年 3 月发现了该恶意软件，并指出其使用俄罗斯云服务 Yandex Cloud 进行命令和控制 (C2) 通信，以避免拥有专用基础设施并逃避检测。

安全研究员 Dmitry Kalinin在周一发布的一份新技术报告中表示： “这种威胁可以捕获屏幕录像、窃取用户文件以及收集通话记录和应用程序列表。”

目前尚不清楚间谍软件是如何传播的，但这家俄罗斯公司表示，它很可能是通过未知的安全漏洞或直接物理访问目标手机来部署的。这些带有恶意软件的应用程序伪装成支付宝或安卓系统服务。

LianSpy 一旦被激活，就会确定它是否作为系统应用程序运行，以使用管理员权限在后台运行，或者请求广泛的权限，允许它访问联系人、通话记录和通知，并在屏幕上方绘制覆盖层。

它还会检查自己是否在调试环境中执行，以设置在重启后仍然有效的配置，然后从启动器中隐藏其图标并触发活动，例如截取屏幕截图、窃取数据以及更新其配置以指定需要捕获哪些类型的信息。

在某些变体中，已发现此功能包括从俄罗斯流行的即时通讯应用程序收集数据的选项，以及仅在连接到 Wi-Fi 或移动网络时允许或禁止运行恶意软件等。

“为了更新间谍软件配置，LianSpy 每 30 秒就会在威胁参与者的 Yandex Disk 上搜索与正则表达式“^frame_.+\\.png$”匹配的文件，”Kalinin 说。“如果找到，该文件就会下载到应用程序的内部数据目录中。”

收集的数据以加密形式存储在 SQL 数据库表中，指定记录类型及其 SHA-256 哈希，这样只有拥有相应私有 RSA 密钥的威胁行为者才能解密被盗信息。

LianSpy 展示其隐身性的地方在于它能够绕过谷歌在 Android 12 中引入的隐私指示器功能，该功能要求请求麦克风和摄像头权限的应用程序显示状态栏图标。

Kalinin 指出：“LianSpy 开发人员通过在 Android 安全设置参数 icon_blacklist 中附加一个强制转换值来绕过此保护，从而阻止通知图标出现在状态栏中。”

“LianSpy 利用处理状态栏通知并能够抑制通知的 NotificationListenerService 来隐藏其调用的后台服务的通知。”

该恶意软件的另一个复杂方面是使用修改后的名称为“mu”的su 二进制文件来获取 root 访问权限，这增加了它是通过以前未知的漏洞或物理设备访问进行传播的可能性。

LianSpy 强调隐蔽性，这一点也体现在 C2 通信是单向的，恶意软件不会接收任何传入命令。Yandex Disk 服务既用于传输被盗数据，也用于存储配置命令。

Yandex Disk 的凭证通过硬编码的 Pastebin URL 进行更新，而不同的恶意软件变种会有所不同。使用合法服务会增加一层混淆，从而有效地混淆了归因。

LianSpy 是不断增长的间谍软件工具列表中的最新成员，这些工具通常利用零日漏洞攻击目标移动设备 - 无论是 Android 还是 iOS。

“除了收集通话记录和应用程序列表等标准间谍手段外，它还利用 root 权限进行秘密屏幕录制和规避，”Kalinin 表示。“它对重命名的 su 二进制文件的依赖强烈表明，在初次入侵后，还会进行二次感染。”