Търсене
Close this search box.

Неизвестен – и вероятно спонсориран от държавата -колектив е използвал невиждан досега инструмент за мобилен шпионаж, за да шпионира неизвестен брой потребители на смартфони с Android. Според изследователите тази дейност продължава поне от три години.

Досега кампанията се е фокусирала главно върху таргетирани лица в Русия, според изследователи от Kaspersky, които проследяват заплахата като LianSpy. Но тактиката, която операторите на шпионския софтуер са използвали при разгръщането на зловредния софтуер, може лесно да бъде приложена и в други региони, казват от Kaspersky.

Зловреден софтуер след експлоатирането

„LianSpy е троянски кон след експлоатиране, което означава, че нападателите или са използвали уязвимости, за да рутират устройства с Android, или са модифицирали фърмуера, като са получили физически достъп до устройствата на жертвите“, пише изследователят на Kaspersky Дмитрий Калинин в публикация в блога тази седмица. „Остава неясно коя уязвимост нападателите може да са използвали в първия сценарий.“

LianSpy е най-новият в бързо нарастващия списък с инструменти за шпиониране. Списъкът включва широко разпространени продукти като Pegasus Software на NSO Group и Predator на алианса Intellexa. През последните години изследователите откриха тези случаи на зловреден софтуер, насочени към потребителите на смартфони с iPhone и Android. Основните купувачи – и потребители – на тези инструменти обикновено са правителства и разузнавателни агенции, които искат да шпионират дисиденти, политически опоненти и други лица, представляващи интерес за тях.

В много случаи – както беше в случая с миналогодишната кампания за шпионски софтуер за iOS „Operation Triangulation“ – доставчиците на мобилни шпионски инструменти са се възползвали от недостатъци от типа „нулев ден“ в Android и iOS, за да доставят и/или стартират своя зловреден софтуер на целевите устройства. В други случаи, включително един, включващ инструмент за шпионски софтуер за Android, наречен BadBazaar през миналата година, и друг шпионски инструмент, наречен SandStrike през 2022 г., носителите на заплахи са разпространявали шпионски софтуер чрез фалшиви версии на популярни приложения в официалните магазини за мобилни приложения.

Тригодишна кампания

Изследователите на Kaspersky се натъкват за първи път на LianSpy през март 2024 г. и бързо установяват, че стоящата зад него структура използва шпионския инструмент от юли 2021 г. насам. Техният анализ разкрива, че нападателите вероятно разпространяват зловредния софтуер, маскиран като системни приложения и финансови приложения.

За разлика от някои т.нар. инструменти за шпионаж с нулево кликване, способността на LianSpy да функционира зависи до известна степен от взаимодействието с потребителя. Когато се стартира, зловредният софтуер първо проверява дали има необходимите разрешения за изпълнение на мисията си на устройството на жертвата. Ако не разполага с необходимите разрешения, зловредният софтуер подканва потребителя да ги предостави. Когато LianSpy получи разрешение, той регистрира така наречения Android Broadcast Receiver, за да получава и реагира на системни събития, като например зареждане, изтощена батерия и промени в мрежата. Изследователите на Kaspersky установиха, че LianSpy използва бинарен суперпотребител с променено име („mu“ вместо „su“), за да се опита да получи достъп до root на устройството на жертвата. Служителите на Kaspersky казват това като индикация, че извършителят е доставил зловредния софтуер, след като първо е получил достъп до устройството по друг начин.

„При стартиране зловредният софтуер скрива иконата си на началния екран и работи във фонов режим, като използва root привилегии“, пише Калинин. „Това му позволява да заобикаля известията в лентата на състоянието на Android, които обикновено биха предупредили жертвата, че смартфонът активно използва камерата или микрофона.“

Събиране на данни и ексфилтрация

Основната функция на LianSpy е да следи безшумно дейността на потребителя, като прихваща дневниците за повиквания, записва екрана на устройството, особено когато потребителят изпраща или получава съобщения, и изброява всички инсталирани приложения на устройството на жертвата. Създателят на заплахата, който стои зад зловредния софтуер, не е използвал частна инфраструктура за комуникация със зловредния софтуер или за съхраняване на събраните данни. Вместо това нападателят е използвал публични облачни платформи и услуги на pastebin за тези функции.

„Извършителят на заплахата използва Yandex Disk както за ексфилтриране на откраднати данни, така и за съхраняване на конфигурационни команди. Данните на жертвите се качват в отделна папка на Yandex Disk“, казва Kaspersky в техническо описание на зловредния софтуер.

Според Kaspersky един интересен аспект на LianSpy е как зловредният софтуер използва своите root привилегии на компрометирано устройство. Вместо да използва статута си на суперпотребител, за да поеме пълен контрол над устройството, LianSpy използва само достатъчно от наличната функционалност, за да изпълни мисията си по тих начин. „Интересно е, че root привилегиите се използват така, че да се предотврати откриването им от решенията за сигурност“, казва доставчикът на защита. Изследователите на Kaspersky също така установиха, че LianSpy използва както симетрични, така и асиметрични ключове за криптиране на данните, които ексфилтрира, което прави невъзможно идентифицирането на жертвите.

„Освен стандартните тактики за шпионаж, като събиране на записи на обаждания и списъци с приложения, той използва root привилегии за скрито записване на екрани и избягване“, казва Калинин. „За разлика от финансово мотивирания шпионски софтуер, фокусът на LianSpy върху улавянето на съдържание на незабавни съобщения показва целенасочена операция за събиране на данни.“

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!