Spyware Android LianSpy usa Yandex para evasão

Imagem com o nome spyware em destaque

Um spyware Android anteriormente desconhecido, chamado LianSpy, tem como alvo usuários russos desde pelo menos 2021. Esse malware tem usado o Yandex para evasão.

Spyware Android LianSpy


Em março de 2024, pesquisadores de segurança cibernética da Kaspersky descobriram um spyware Android até então desconhecido, chamado LianSpy.
O malware está ativo desde julho de 2021 e foi projetado para capturar screencasts, exfiltrar arquivos de usuários e coletar registros de chamadas e listas de aplicativos.

O malware emprega várias técnicas de evasão, incluindo o uso do serviço de nuvem russo Yandex Disk para comunicações C2, evitando que a infraestrutura dedicada permaneça sem ser detectada.

O spyware provavelmente é implantado por meio de uma vulnerabilidade desconhecida ou acesso físico direto ao dispositivo da vítima. Ele primeiro verifica se tem status de aplicativo do sistema para obter automaticamente as permissões necessárias. Caso contrário, ele solicita permissões para sobreposição de tela, notificações, atividade em segundo plano, contatos e registros de chamadas.

Depois de obter as permissões necessárias, ele garante que não está sendo executado em um ambiente controlado. Se for seguro, ele define sua configuração com valores predefinidos e armazena essas informações em SharedPreferences para persistência em reinicializações.

O malware

O LianSpy suporta técnicas avançadas de evasão. Ele se disfarça como um aplicativo legítimo como Alipay ou serviços do sistema e pode ignorar os indicadores de privacidade do Android 12 modificando as configurações para ocultar ícones de notificação. Ele também oculta notificações de serviços em segundo plano usando NotificationListenerService e suprime notificações da barra de status com frases específicas.

Imagem com o nome malware em destaque


O LianSpy pode capturar a tela furtivamente usando o comando screencap com acesso root, sem deixar rastros de atividade maliciosa. Ele depende de serviços de nuvem e pastebin para ocultar atividades maliciosas e criptografar dados exfiltrados para impedir a identificação da vítima, mesmo se as credenciais da nuvem forem comprometidas.

Além disso, o malware também obtém acesso root por meio de um binário su modificado, sugerindo o uso de exploits desconhecidos ou acesso físico ao dispositivo para entrega. Ele não usa sua infraestrutura, mas depende do Yandex Disk para exfiltração de dados e armazenamento de comandos de configuração. A comunicação com seu servidor C2 é unidirecional, com o malware lidando com verificações de atualização e exfiltração de dados por conta própria. As credenciais do Yandex Disk podem ser atualizadas por meio de uma URL pastebin codificada, que pode diferir entre variantes de malware, e uma lista dessas URLs está incluída na seção IoC.

Via: Security Affairs