'Lightspy' adlı daha önce belgesiz bir Android kötü amaçlı yazılım, Rus kullanıcılarını hedefleyen, bir alipay uygulaması veya tespitten kaçınmak için bir sistem hizmeti olarak poz veren keşfedildi.
Analiz, Lianspy'nin Temmuz 2021'den bu yana Android kullanıcılarını aktif olarak hedeflediğini, ancak kapsamlı gizli yetenekleri üç yıldan fazla bir süredir tespit edilmemesine yardımcı oldu.
Kaspersky araştırmacıları, tehdit aktörlerinin sıfır gün güvenlik açığı kullandığına veya cihazları kötü amaçlı yazılımlarla enfekte etmek için fiziksel erişime sahip olduğuna inanıyorlar. Kötü amaçlı yazılım, ekran görüntüleri almak, dosyaları çalmak ve çağrı günlüklerini hasat etmek için cihazda kök ayrıcalıkları kazanır.
Kaspersky raporunda, "Lianspy, kök erişimi kazanmak için değiştirilmiş bir adla SU ikili kullanıyor. Analiz ettiğimiz kötü amaçlı yazılım örnekleri, varsayılan SU dizinlerinde bir MU ikili bulma girişiminde bulunuyor."
"Bu, kurbanın cihazında kök algılamadan kaçınma çabasını gösteriyor. Modifiye edilmiş bir ikili üzerinde bu kadar güçlü bir güven ile süper kullanıcı hakları edinmek, casus yazılımın muhtemelen daha önce bilinmeyen bir istismar veya fiziksel cihaz erişimi yoluyla teslim edildiğini gösteriyor."
Kaçma özelliklerinin uzun listesi, bir uygulama ekranı kaydettiğinde veya kamerayı veya mikrofonu etkinleştirdiğinde durum çubuğunda bir gösterge görüntüleyen Android 12 ve sonraki'deki 'Gizlilik Göstergeleri' güvenlik özelliğini atlamayı içerir.
Lianspy, Android'in simge bloğu listesi ayar parametresine 'döküm' değeri ekleyerek bu özelliği atlar, böylece döküm bildirimleri engellenir ve kurbanı ekranlarının kaydedildiğinden habersiz bırakır.
Lianspy kötü amaçlı yazılım, algılamadan bir cihazda gizlenecek çok çeşitli güçlü özellikler ve kaçırma mekanizmaları içerir.
Kaspersky, kötü amaçlı yazılım yüklendiğinde bir Android Sistem hizmeti veya Alipay uygulaması olarak yayınlayacağını söylüyor.
Lianspy başlatıldıktan sonra ekran kaplama, bildirimler, kişiler, çağrı günlükleri ve arka plan etkinliği izinleri ister veya bir sistem uygulaması olarak çalışırsa bunları otomatik olarak verir.
Ardından, bir analistin ortamında çalışmamasını (hata ayıklayıcı yok) ve yapılandırmasını bir yandex disk deposundan yüklemesini sağlar.
Konfigürasyon, yerel olarak paylaşılır.
Hangi verilerin hedefleneceğini, ekran görüntüsü alma ve veri açığa çıkma süresi aralıklarını ve uygulamaların medya projeksiyon API'sını kullanmak için ekran yakalamayı tetiklemesini belirler.
Whatsapp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat ve Discord, tespit riskini en aza indiren seçici ekran yakalama için desteklenen birçok kişi arasındadır.
Çalınan veriler, Yandex diskine sıyrılmadan önce, özel bir RSA anahtarının okunmasını gerektiren ve yalnızca tehdit aktörünün erişimini sağlayarak bir SQL tablosunda ('CON001') AES ile şifreli formda saklanır.
Kötü amaçlı yazılım komutları veya yapılandırma güncellemeleri almaz, ancak yeni yapılandırma ayarları almak için güncelleme kontrollerini düzenli olarak (30 saniyede bir) gerçekleştirir. Bu ayarlar, yapılandırma verilerinde alt dizeler olarak saklanır ve bu da kötü amaçlı yazılımlara enfekte olmuş cihazda hangi kötü amaçlı faaliyetlerin gerçekleştirilmesi gerektiğini söyler.
Kaspersky tarafından görülen alt dizelerin bir listesi aşağıda listelenmiştir:
Lianspy'nin uzun listesindeki gizli bir güçlendirici özellik daha, "Pil Kullanımı" veya "Arka Planda Çalışma" gibi anahtar ifadelerle bildirimleri bastırmak için 'NotificationListenerService' kullanımıdır.
Hedef demografiyi gösteren hem İngilizce hem de Rusya için sert kodlanmış ifadeler dahildir.
Ancak Kaspersky, telemetri verilerinin Lianspy'nin arkasındaki tehdit aktörlerinin şu anda Rus hedeflerine odaklandığını gösterdiğini söylüyor.
Android Spyware 'Mandrake' 2022'den beri Google Play'deki uygulamalarda gizli
Masif SMS Stealer kampanyası, 113 ülkede Android Cihazları Enfekte
Yeni Medusa Kötü Yazılım Varyantları Yedi Ülkede Android Kullanıcıları Hedef
Yeni Android kötü amaçlı yazılım, banka hesaplarını boşalttıktan sonra cihazınızı siliyor
Telegram Zero-Day, video olarak kötü niyetli Android APK'ların gönderilmesine izin verdi
Kaynak: Bleeping Computer