Segundo os pesquisadores da Kaspersky, o novo malware LianSpy se esconde bloqueando recurso de segurança do Android.
Um malware Android anteriormente não documentado chamado ‘LightSpy’ foi descoberto visando usuários russos, se passando por um aplicativo Alipay ou um serviço de sistema em telefones para evitar a detecção.
LianSpy se esconde bloqueando recurso de segurança do Android
A análise mostra que o LianSpy tem visado ativamente usuários do Android desde julho de 2021, mas seus amplos recursos de furtividade o ajudaram a permanecer sem ser detectado por mais de três anos.
Os pesquisadores da Kaspersky acreditam que os agentes da ameaça usam uma vulnerabilidade zero-day ou têm acesso físico para infectar dispositivos com malware.
O malware obtém privilégios de root no dispositivo para fazer capturas de tela, roubar arquivos e coletar registros de chamadas.
“O LianSpy usa o binário su com um nome modificado para obter acesso root. As amostras de malware que analisamos tentam localizar um binário mu nos diretórios su padrão”, explica o relatório da Kaspersky.
“Isso indica um esforço para evitar a detecção de root no dispositivo da vítima. Adquirir direitos de superusuário com uma dependência tão forte de um binário modificado sugere que o spyware provavelmente foi entregue por meio de uma exploração previamente desconhecida ou acesso físico ao dispositivo.”
Sua longa lista de recursos de evasão inclui ignorar o recurso de segurança “Indicadores de privacidade” no Android 12 e versões posteriores, que exibe um indicador na barra de status quando um aplicativo grava a tela ou ativa a câmera ou o microfone.
LianSpy ignora esse recurso anexando um valor “cast” ao parâmetro de configuração da lista de bloqueio de ícones do Android para que as notificações de transmissão sejam bloqueadas, deixando a vítima sem saber que sua tela está sendo gravada.
O malware LianSpy inclui uma ampla gama de recursos poderosos e mecanismos de evasão para se esconder em um dispositivo sem detecção.
A Kaspersky diz que quando o malware é instalado, ele será publicado como um serviço do sistema Android ou o aplicativo Alipay.
Uma vez iniciado, o LianSpy solicita sobreposição de tela, notificações, contatos, registros de chamadas e permissões de atividade em segundo plano ou os concede a si mesmo automaticamente se for executado como um aplicativo do sistema.
Em seguida, ele garante que não esteja em execução no ambiente de um analista (nenhum depurador presente) e carrega sua configuração de um repositório do Yandex Disk.
A configuração é armazenada localmente em SharedPreferences, permitindo que ela persista entre reinicializações do dispositivo.
Ele determina quais dados serão alvos, os intervalos de tempo de captura de tela e exfiltração de dados e para aplicativos acionarem a captura de tela para usar a API de projeção de mídia.
WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat e Discord estão entre os muitos suportados para captura de tela seletiva, o que minimiza o risco de detecção.
Os dados roubados são armazenados em formato criptografado AES em uma tabela SQL (‘Con001’) antes de serem exfiltrados para o Yandex Disk, exigindo uma chave RSA privada para lê-los, garantindo que apenas o agente da ameaça tenha acesso.
O malware não recebe comandos ou atualizações de configuração, mas executa verificações de atualização regularmente (a cada 30 segundos) para obter novas configurações.
Essas configurações são armazenadas como substrings nos dados de configuração, que informam ao malware quais atividades maliciosas devem ser realizadas no dispositivo infectado.
Uma lista de substrings vistas pela Kaspersky está listada abaixo:
| Substring (nome do comando) | Descrição |
| *contra+ | Habilitar coleta de lista de contatos |
| *vigarista- | Desativar coleta de lista de contatos |
| *clg+ | Habilitar coleta de registro de chamadas |
| *clg- | Desativar coleta de registro de chamadas |
| *aplicativo+ | Habilitar coleta de lista de aplicativos instalados |
| *aplicativo- | Desabilitar coleta de lista de aplicativos instalados |
| *rsr+ | Agendar capturas de tela |
| *rsr- | Pare de tirar capturas de tela |
| *nrs+ | Habilitar gravação de tela |
| *nrs- | Desativar gravação de tela |
| *sorriso | Defina uma nova lista de aplicativos, armazenada logo após a sequência de comando, para gravação de tela |
| *esposa+ | Permitir execução se o dispositivo estiver conectado ao Wi-Fi |
| *esposa- | Proibir a execução se o dispositivo estiver conectado somente ao Wi-Fi |
| *multidão+ | Permitir execução se o dispositivo estiver conectado à rede móvel |
| *multidão- | Proibir a execução se o dispositivo estiver conectado apenas à rede móvel |
| *ciência | Definir intervalo de captura de tela em milissegundos |
| *sbi | Definir intervalo entre tarefas de exfiltração de dados em milissegundos |
Mais um recurso de reforço de stealth na longa lista do LianSpy é o uso do ‘NotificationListenerService’ para suprimir notificações com frases-chave como “usando bateria” ou “executando em segundo plano” de aparecer.
Frases codificadas são incluídas para inglês e russo, o que indica o público-alvo.
No entanto, a Kaspersky diz que seus dados de telemetria mostram que os agentes de ameaças por trás do LianSpy estão atualmente se concentrando em alvos russos.
