Clicky

El nuevo software espía para Android LianSpy evita ser detectado mediante Yandex Cloud

malware Android

Tiene capacidad para eludir la función de indicadores de privacidad

Los usuarios de Rusia han sido el objetivo de un software espía de Android no documentado previamente llamado LianSpy desde al menos 2021.

El proveedor de ciberseguridad Kaspersky, que descubrió el malware en marzo de 2024, señaló su uso de Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2) como una forma de evitar tener una infraestructura dedicada y evadir la detección.

"Esta amenaza está equipada para tomar capturas de pantalla, filtrar archivos de usuarios y recopilar registros de llamadas y listas de aplicaciones", dijo el investigador de seguridad Dmitry Kalinin en un nuevo informe técnico publicado el lunes.

Actualmente no está claro cómo se distribuye el software espía, pero es probable que el proveedor ruso de ciberseguridad lo haya implementado a través de una falla de seguridad desconocida o de un acceso físico directo al teléfono objetivo. Las aplicaciones cargadas de malware están camufladas como Alipay o un servicio del sistema Android.

LianSpy, una vez activado, determina si se ejecuta como una aplicación del sistema para operar en segundo plano utilizando privilegios de administrador o solicita una amplia gama de permisos que le permiten acceder a contactos, registros de llamadas y notificaciones, y dibujar superposiciones sobre la pantalla.

También verifica si se está ejecutando en un entorno de depuración para configurar una configuración que persista después de los reinicios, y luego oculta su ícono del iniciador y activa actividades como tomar capturas de pantalla y exfiltrar datos, y actualizar su configuración para especificar qué tipo de información se debe recoger.

En algunas variantes, se ha descubierto que esto incluye opciones para recopilar datos de aplicaciones de populares mensajería instantánea en Rusia, así como permitir o prohibir la ejecución del malware solo si está conectado a Wi-Fi o a una red móvil, entre otros.

"Para actualizar la configuración del software espía, LianSpy busca cada 30 segundos un archivo que coincida con la expresión regular "^frame_.+\\.png$" en el disco Yandex de un actor de amenazas", dijo Kalinin. "Si se encuentra, el archivo se descarga al directorio de datos interno de la aplicación".

Los datos recolectados se almacenan de forma cifrada en una tabla de base de datos SQL, especificando el tipo de registro y su hash SHA-256, de modo que solo un actor de amenazas en posesión de la clave RSA privada correspondiente pueda descifrar la información robada.

Donde LianSpy demuestra su sigilo es en su capacidad de eludir la función de indicadores de privacidad introducida por Google en Android 12, que requiere que las aplicaciones que solicitan permisos de micrófono y cámara muestren un ícono en la barra de estado.

"Los desarrolladores de LianSpy han logrado eludir esta protección añadiendo un valor de conversión al parámetro de configuración segura de Android icon_blacklist, que impide que los iconos de notificación aparezcan en la barra de estado", señaló Kalinin.

"LianSpy oculta las notificaciones de los servicios en segundo plano que llama aprovechando el NotificationListenerService que procesa las notificaciones de la barra de estado y puede suprimirlas".

Otro sofisticado aspecto del malware implica el uso del binario su con un nombre modificado "mu" para obtener acceso de root, lo que aumenta la posibilidad de que se distribuya a través de un exploit previamente desconocido o el acceso a un dispositivo físico.

El énfasis de LianSpy en pasar desapercibido también se evidencia en el hecho de que las comunicaciones C2 son unidireccionales y el malware no recibe ningún comando entrante. El servicio Yandex Disk se utiliza para transmitir datos robados y almacenar comandos de configuración.

Las credenciales de Yandex Disk se actualizan desde una URL de Pastebin codificada, que varía según las variantes del malware. El uso de servicios legítimos agrega una capa de ofuscación que enturbia la atribución.

LianSpy es la última incorporación a una lista cada vez mayor de herramientas de software espía que a menudo se envían a dispositivos móviles específicos (ya sean Android o iOS) aprovechando fallas de día cero.

"Más allá de las tácticas de espionaje estándar, como la recopilación de registros de llamadas y listas de aplicaciones, aprovecha los privilegios de root para realizar grabaciones de pantalla encubiertas y evadir el acceso", dijo Kalinin. "Su dependencia de un binario su renombrado sugiere fuertemente una infección secundaria después de un compromiso inicial".

Jesus_Caceres