Phần mềm gián điệp Android mới LianSpy trốn tránh phát hiện bằng cách sử dụng Yandex Cloud
Người dùng ở Nga đã trở thành mục tiêu của phần mềm gián điệp Android sau khi xâm phạm trước đây chưa được ghi chép có tên là LianSpy kể từ ít nhất năm 2021.
Kaspersky, phát hiện ra phần mềm độc hại vào tháng 3 năm 2024, đã lưu ý rằng phần mềm này sử dụng Yandex Cloud, một dịch vụ đám mây của Nga, để liên lạc chỉ huy và kiểm soát (C2) như một cách để tránh phải có cơ sở hạ tầng chuyên dụng và tránh bị phát hiện.
"Mối đe dọa này được trang bị để ghi lại các bản ghi màn hình, đánh cắp các tệp của người dùng và thu thập nhật ký cuộc gọi và danh sách ứng dụng", nhà nghiên cứu bảo mật Dmitry Kalinin cho biết trong một báo cáo kỹ thuật mới được công bố vào thứ Hai.
Hiện tại vẫn chưa rõ phần mềm gián điệp được phân phối như thế nào, nhưng công ty Nga cho biết có khả năng phần mềm này được triển khai thông qua một lỗ hổng bảo mật chưa xác định hoặc truy cập vật lý trực tiếp vào điện thoại mục tiêu. Các ứng dụng chứa phần mềm độc hại được ngụy trang thành Alipay hoặc một dịch vụ hệ thống Android.
LianSpy, sau khi được kích hoạt, sẽ xác định xem nó có đang chạy như một ứng dụng hệ thống để hoạt động ở chế độ nền bằng cách sử dụng đặc quyền của quản trị viên hay không, hoặc yêu cầu nhiều quyền cho phép nó truy cập vào danh bạ, nhật ký cuộc gọi và thông báo, cũng như vẽ lớp phủ trên màn hình.
Nó cũng kiểm tra xem nó có đang thực thi trong môi trường gỡ lỗi hay không để thiết lập cấu hình vẫn tồn tại sau khi khởi động lại, sau đó ẩn biểu tượng của nó khỏi trình khởi chạy và kích hoạt các hoạt động như chụp ảnh màn hình, đánh cắp dữ liệu và cập nhật cấu hình của nó để chỉ định loại thông tin nào cần được ghi lại.
Trong một số biến thể, điều này đã được phát hiện bao gồm các tùy chọn để thu thập dữ liệu từ các ứng dụng nhắn tin tức thời phổ biến ở Nga cũng như cho phép hoặc cấm chạy phần mềm độc hại chỉ khi nó được kết nối với Wi-Fi hoặc mạng di động, trong số những thứ khác.
"Để cập nhật cấu hình phần mềm gián điệp, LianSpy tìm kiếm tệp khớp với biểu thức chính quy "^frame_.+\\.png$" trên Yandex Disk của tác nhân đe dọa sau mỗi 30 giây", Kalinin cho biết. "Nếu tìm thấy, tệp sẽ được tải xuống thư mục dữ liệu nội bộ của ứng dụng".
Dữ liệu thu thập được lưu trữ dưới dạng mã hóa trong bảng cơ sở dữ liệu SQL, chỉ định loại bản ghi và hàm băm SHA-256 của bản ghi, sao cho chỉ có tác nhân đe dọa sở hữu khóa RSA riêng tương ứng mới có thể giải mã thông tin bị đánh cắp.
Điểm đặc biệt của LianSpy là khả năng bỏ qua tính năng chỉ báo quyền riêng tư do Google giới thiệu trong Android 12, tính năng này yêu cầu các ứng dụng yêu cầu quyền micrô và máy ảnh phải hiển thị biểu tượng thanh trạng thái.
"Các nhà phát triển LianSpy đã xoay sở để bỏ qua biện pháp bảo vệ này bằng cách thêm giá trị ép kiểu vào tham số cài đặt bảo mật Android icon_blacklist, giúp ngăn biểu tượng thông báo xuất hiện trên thanh trạng thái", Kalinin chỉ ra.
"LianSpy ẩn thông báo khỏi các dịch vụ nền mà nó gọi bằng cách tận dụng NotificationListenerService xử lý thông báo trên thanh trạng thái và có thể ngăn chặn chúng".
Một khía cạnh tinh vi khác của phần mềm độc hại bao gồm việc sử dụng nhị phân su có tên đã sửa đổi là "mu" để giành quyền truy cập gốc, làm tăng khả năng nó có thể được phân phối thông qua một lỗ hổng chưa biết trước đó hoặc quyền truy cập thiết bị vật lý.
Sự nhấn mạnh của LianSpy vào việc hoạt động ẩn dưới radar cũng được chứng minh bằng thực tế là giao tiếp C2 là đơn hướng, với phần mềm độc hại không nhận được bất kỳ lệnh nào đến. Dịch vụ Yandex Disk được sử dụng để truyền dữ liệu bị đánh cắp và lưu trữ các lệnh cấu hình.
Thông tin xác thực cho Yandex Disk được cập nhật từ URL Pastebin được mã hóa cứng, thay đổi tùy theo các biến thể phần mềm độc hại. Việc sử dụng các dịch vụ hợp pháp sẽ thêm một lớp che giấu, làm lu mờ hiệu quả việc xác định.
LianSpy là phần bổ sung mới nhất vào danh sách ngày càng tăng các công cụ phần mềm gián điệp, thường được phân phối đến các thiết bị di động mục tiêu - có thể là Android hoặc iOS - bằng cách tận dụng các lỗ hổng zero-day.
Kalinin cho biết: "Ngoài các chiến thuật gián điệp tiêu chuẩn như thu thập nhật ký cuộc gọi và danh sách ứng dụng, nó còn tận dụng các đặc quyền gốc để ghi lại màn hình bí mật và trốn tránh". "Việc nó dựa vào tệp nhị phân su được đổi tên cho thấy rõ ràng là nhiễm trùng thứ cấp sau lần xâm nhập ban đầu".
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...