Studiuesit e sigurisë së Kaspersky kanë identifikuar një malware të ri të sofistikuar për Android, të quajtur “LianSpy”, i cili ka qenë aktiv që nga korriku 2021, por ka mbetur i pazbuluar falë aftësive të tij të avancuara të evazionit dhe kryesisht synon përdoruesit rusë.
LianSpy maskohet si një aplikacion Alipay ose shërbim i sistemit Android për të shmangur zbulimin. Sipas studiuesve të sigurisë, është e mundur që infeksioni fillestar të ndodhë nëpërmjet një cenueshmërie të ditës zero ose nëpërmjet aksesit fizik në pajisje. Pas instalimit, malware kujdeset për marrjen e lejeve të rrënjës, duke përdorur një binar “su” të modifikuar, duke u përpjekur të gjejë një binar “mu” në drejtoritë e paracaktuara.
Pasi të fitohet qasja rrënjësore, malware kërkon ose vetë jep leje të ndryshme, duke përfshirë mbivendosjen e ekranit, aksesin në njoftimet, kontaktet dhe regjistrat e thirrjeve. Pasi të jenë marrë lejet e nevojshme, LianSpy mund të kryejë veprime të ndryshme, të tilla si marrja e pamjeve nga ekrani, vjedhja e skedarëve dhe analizimi i regjistrave të thirrjeve.
Ndër aftësitë e ndryshme të anashkalimit, ne theksojmë veçanërisht mundësinë e anashkalimit të “Treguesve të privatësisë” në Android 12 e më vonë: në këtë mënyrë LianSpy manipulon cilësimet e sistemit për të bllokuar njoftimet e regjistrimit të ekranit, duke e lënë përdoruesin të pavetëdijshëm për atë që po ndodh. LianSpy gjithashtu ka aftësinë për të verifikuar nëse ekzekutimi i tij po ndodh në një mjedis analize.
Konfigurimi i LianSpy merret nga një depo e Diskut Yandex dhe më pas ruhet në nivel lokal, dhe dikton se cilat të dhëna të synohen, intervalet midis kapjes së pamjes së ekranit dhe ekfiltrimit të të dhënave. Cilësimet vazhdojnë edhe pas rinisjes së pajisjes.
Të dhënat e vjedhura janë të koduara me AES, në mënyrë që vetëm sulmuesi të mund të aksesojë informacionin e vjedhur dhe ruhen në një tabelë SQL përpara se të ngarkohen përsëri në Yandex Disk. Më në fund, LianSpy kryen periodikisht kontrolle të përditësimit për të marrë cilësime të reja të konfigurimit që përcaktojnë aktivitetet e tij në pajisjen e komprometuar.
Aftësitë e anashkalimit dhe në veçanti përdorimi i platformave plotësisht legjitime si Yandex komplikojnë mundësitë e atribuimit: Kaspersky vëren, siç po thoshim, se kjo fushatë synon përdoruesit rusë dhe për momentin nuk duket të jetë e krahasueshme me fushatat e tjera që synojnë të njëjtat objektiva. Megjithatë, përdorimi i mëvonshëm në një shkallë më të madhe nuk mund të përjashtohet, veçanërisht nëse vektori fillestar i infeksionit është një cenueshmëri ende e panjohur e ditës zero.
Discussion about this post