Záhadní hackeri zaútočili na Rusko. Kyberšpionážny softvér LianSpy spôsobuje vrásky na čele používateľom smartfónov
Neznámi hackeri zaútočili na Rusko v kampani, ktorá distribuuje sofistikovaný spyware LianSpy. Ten sa vyznačuje pokročilými funkciami.
Bezpečnostní analytici zo SecureList odhalili ešte v marci nový druh spywaru, ktorý cielil na ruských užívateľov. Podľa analýzy bol tento malvér aktívny od júla 2021.
LianSpy disponuje viacerými pokročilými funkciami
Špionážny softvér výskumníci nazvali LianSpy a vyznačuje sa niekoľkými pokročilými funkciami. Dokáže zachytiť snímky obrazovky, kradnúť súbory obete a získať informácie o posledných hovoroch a nainštalovaných aplikáciách. Aby sa hackeri za malvérom vyhli odhaleniu, využívajú niekoľko premyslených taktík.
Hackeri podľa vyšetrovania využívajú ruskú cloudovú službu Yandex Disk ako command and control server. Zároveň sa vyhýbajú tomu, aby mali vybudovanú infraštruktúru. Aj samotný špionážny softvér sa vyznačuje niekoľkými funkciami, ktoré mu pomáhajú ostať neodhaleným.
Bezpečnostní analytici sa domnievajú, na základe niekoľkých funkcií, že sa malvér LianSpy šíri cez zatiaľ nepozorovanú slabinu alebo cez priamy prístup k smartfónu obete. Pri prvom spustení spyware LianSpy zistí, či funguje ako systémová aplikácia. Ak áno, potom automaticky dostáva všetky povolenia, ktoré potrebuje. Ak nie, povolenia si od obete vyžiada. Malvér potrebuje prístup k overlay funkcií, notifikáciam, kontaktom, zoznamu hovorov a aktivite na pozadí.
Keď užívateľ udelí spywaru potrebné povolenia, potom prebieha ďalšia kontrola. LianSpy dokáže zistiť, či sa nachádza v sandbox alebo debugging prostredí, ktoré vyžívajú bezpečnostní analytici na skúmanie malvéru. Ak sa nachádza na zariadení nič netušiacej obete, malvér sa spúšťa s preddefinovanými parametrami a začína svoju špionážnu činnosť.
Neprehliadni
Keď je všetko nastavené a spyware je pripravený, LianSpy ukryje svoju ikonu a kontaktuje C2 server hackerov. Potom už môže vykonávať rôzne škodlivé aktivity, napríklad zachytávanie obrazovky, exfiltrovanie dát alebo aktualizovanie malvéru.
“Spyware LianSpy uplatňuje nekonvenčné, ale zato sofistikované, metódy na vyhnutie sa odhaleniu. Na splynutie s legitímnymi aplikáciami sa verzie spywaru maskujú za aplikáciu Alipay alebo rôzne systémové procesy,” vysvetľujú bezpečnostní analytici.
Od Android 12 majú smartfóny “indikátory súkromia”. Ide o ikony, ktoré sa zobrazia, keď smartfón pracuje s citlivými dátami, napríklad pri nahrávaní obrazovky, používaní mikrofónu alebo fotoaparátu. Tieto indikátory vie malvér obísť. Ako posledné LianSpy využíva možnosť ukrývania notifikácií zo služieb na pozadí. Vďaka tomu môže ešte viac zakryť svoju činnosť.
“Malvér nemá žiadnu súkromnú infraštruktúru. Namiesto toho kyberzločinci využívajú Yandex Disk cloudovú službu na ukladanie príkazov pre spyware a exfiltrovanie dát,” tvrdia analytici.
Na základe niektorých fráz napísaných v ruštine a toho, že malvér obsahuje mená populárnych ruských četovacích aplikácií, bezpečnostní analytici usúdili, že malvér cieli primárne na ruských užívateľov. Telemetria potvrdila, že obeťami boli hlavne užívatelia v Rusku.
“Nový špionážny malvér LianSpy sa vyznačuje niekoľkými pôsobivými funkciami. Tento malvér je krok pred štandardným špionážnym softvérom, ktorý kradne zoznam posledných hovorov alebo aplikácií. LianSpy využíva root oprávnenia k tajnému nahrávaniu obrazovky a vyhýbaniu sa odhaleniu,” hovoria analytici.
Kyberzločinci idú po osobných dátach
Odborníci zo SecureList nepredpokladajú, že hlavným dôvodom útokov sú peniaze. Keďže fokus malvéru je na čítanie správ obetí, bezpečnostní analytici usudzujú, že kyberzločincov v tomto prípade zaujímajú osobné dáta.
Hackeri využívajú na operácie legitímne platformy, ako napríklad už spomenutý Yandex Disk a rôzne pastebin služby pre exfiltráciu dát a C2 komunikáciu. Táto stratégia bezpečnostným expertom výrazne komplikuje odhalenie toho, kto za útokmi stojí. Spyware LianSpy sa neprekrýva so žiadnou prebiehajúcou kampaňou, ktorá cieli momentálne na Rusko. Bezpečnostní experti tento špionážny malvér aj naďalej starostlivo monitorujú a veria, že v budúcnosti získajú viac informácií.
V Rusku momentálne prebieha niekoľko hackerských kampaní. Ešte začiatkom júla sme informovali o záhadnej hackerskej skupine CloudSorcerer, ktorá taktiež zasiahla krajinu kyberšpionážnymi útokmi. Hackeri majú v rukách mimoriadne silný nástroj, ktorý im dovoľuje kradnúť dáta z viacerých populárnych služieb. Viac sa o týchto útokoch dozvieš v tomto článku.
Komentáre