Um spyware Android anteriormente desconhecido, chamado LianSpy, tem como alvo usuários russos desde pelo menos 2021. Esse malware tem usado o Yandex para evasão.
Spyware Android LianSpy
Em março de 2024, pesquisadores de segurança cibernética da Kaspersky descobriram um spyware Android até então desconhecido, chamado LianSpy.
O malware está ativo desde julho de 2021 e foi projetado para capturar screencasts, exfiltrar arquivos de usuários e coletar registros de chamadas e listas de aplicativos.
O malware emprega várias técnicas de evasão, incluindo o uso do serviço de nuvem russo Yandex Disk para comunicações C2, evitando que a infraestrutura dedicada permaneça sem ser detectada.
O spyware provavelmente é implantado por meio de uma vulnerabilidade desconhecida ou acesso físico direto ao dispositivo da vítima. Ele primeiro verifica se tem status de aplicativo do sistema para obter automaticamente as permissões necessárias. Caso contrário, ele solicita permissões para sobreposição de tela, notificações, atividade em segundo plano, contatos e registros de chamadas.
Depois de obter as permissões necessárias, ele garante que não está sendo executado em um ambiente controlado. Se for seguro, ele define sua configuração com valores predefinidos e armazena essas informações em SharedPreferences para persistência em reinicializações.
Notícias Relacionadas
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
Ransomware RansomHub
Ransomware RansomHub usa ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint
Pesquisadores de segurança observaram o grupo de ransomware RansomHub usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR). RansomHub usa ferramenta TDSSKiller para desabilitar detecção e resposta de endpoint A gangue de ransomware RansomHub está usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR), observou […]
O malware
O LianSpy suporta técnicas avançadas de evasão. Ele se disfarça como um aplicativo legítimo como Alipay ou serviços do sistema e pode ignorar os indicadores de privacidade do Android 12 modificando as configurações para ocultar ícones de notificação. Ele também oculta notificações de serviços em segundo plano usando NotificationListenerService e suprime notificações da barra de status com frases específicas.
O LianSpy pode capturar a tela furtivamente usando o comando screencap com acesso root, sem deixar rastros de atividade maliciosa. Ele depende de serviços de nuvem e pastebin para ocultar atividades maliciosas e criptografar dados exfiltrados para impedir a identificação da vítima, mesmo se as credenciais da nuvem forem comprometidas.
Além disso, o malware também obtém acesso root por meio de um binário su modificado, sugerindo o uso de exploits desconhecidos ou acesso físico ao dispositivo para entrega. Ele não usa sua infraestrutura, mas depende do Yandex Disk para exfiltração de dados e armazenamento de comandos de configuração. A comunicação com seu servidor C2 é unidirecional, com o malware lidando com verificações de atualização e exfiltração de dados por conta própria. As credenciais do Yandex Disk podem ser atualizadas por meio de uma URL pastebin codificada, que pode diferir entre variantes de malware, e uma lista dessas URLs está incluída na seção IoC.
Via: Security Affairs
