自2021年起，俄羅斯用戶已成為一種新型未被記錄的安卓后門間諜軟件“LianSpy”的攻擊目標。

網絡安全公司卡巴斯基在2024年3月發現了這款惡意軟件，并指出其利用俄羅斯的云服務Yandex Cloud進行命令和控制（C2）通信，以避免設立專用基礎設施并逃避檢測。

安全研究員Dmitry Kalinin在周一發布的技術報告中表示：LianSpy能夠捕獲屏幕錄像、竊取用戶文件、收集通話記錄和應用程序列表。

目前尚不清楚該間諜軟件的傳播方式，但卡巴斯基推測，它可能是通過未知的安全漏洞或是直接接觸目標手機來部署的，這些帶有惡意軟件的應用程序看起來像是支付寶或安卓系統的一個服務。

LianSpy一旦被激活，會先檢查自己是不是以系統應用身份在運行。如果是，它會利用管理員權限在后臺操作。如果不是，它會請求一系列權限以訪問聯系人、通話記錄、通知，甚至會在手機屏幕上繪制覆蓋層。

它還會檢查自己是否在調試環境中運行，以便設置一個在手機重啟后也能保持的配置。然后從手機的啟動器中隱藏圖標，并觸發屏幕截圖、導出數據和更新配置等活動，以指定需要捕獲的信息類型。

某些變種被發現能夠收集俄羅斯流行的即時通訊應用的數據，并根據是否連接到Wi-Fi或移動網絡來允許或禁止運行惡意軟件。

Kalinin說：“為了更新間諜軟件配置，LianSpy每隔30秒會在攻擊者的Yandex Disk上搜索與正則表達式'^frame_.+.png$'匹配的文件，如果找到，文件將被下載到應用程序的內部數據目錄中。”

并且，收集的數據以加密形式存儲在SQL數據庫中，指定記錄類型和SHA-256哈希值，只有擁有相應私有RSA密鑰的攻擊者才能解密竊取的信息。

LianSpy的隱蔽性體現在它能夠繞過谷歌在Android 12中引入的隱私指示器功能，該功能要求請求麥克風和相機權限的應用顯示狀態欄圖標。LianSpy開發者通過修改Android安全設置參數，防止通知圖標出現在狀態欄。

它還利用NotificationListenerService隱藏后臺服務的通知，處理并抑制狀態欄通知。

LianSpy惡意軟件的另一個復雜之處在于它使用了修改名稱為"mu"的su二進制文件來獲取root權限，這增加了它可能是通過一個以前未知的漏洞或對設備的物理訪問來傳播的可能性。

此外，LianSpy的C2通信是單向的，只接收命令，不發送任何回應。它使用Yandex Disk傳輸被盜數據和存儲配置命令，從硬編碼的Pastebin URL更新Yandex Disk的憑據，不同惡意軟件變種的 Pastebin URL 各不相同，使用這種合法服務增加了混淆層，追蹤LianSpy變得更加困難。

LianSpy是不斷增長的間諜軟件工具列表中的最新成員，通常利用零日漏洞攻擊目標移動設備（無論是 Android 還是 iOS）。Kalinin表示：“除了收集通話記錄和應用列表等標準間諜行為外，它還利用root權限進行隱蔽的屏幕錄制，避開安全檢查，其依賴重命名的su二進制文件，暗示了初次入侵后的二次感染。”

參考來源：https://thehackernews.com/2024/08/new-android-spyware-lianspy-evades.html