LianSpy è un nuovo malware Android che sfrutta le funzionalità di sicurezza
I ricercatori di Kaspersky hanno recentemente individuato un sofisticato malware per dispositivi Android chiamato LianSpy, attivo fin da luglio 2021. Questo malware è riuscito a rimanere nascosto grazie alle sue avanzate capacità di elusione, prendendo di mira principalmente gli utenti russi.
LianSpy si camuffa abilmente da app legittime come Alipay o come servizio di sistema Android, evitando così il rilevamento. Secondo gli esperti, l’infezione iniziale potrebbe avvenire tramite una vulnerabilità zero-day o attraverso l’accesso fisico al dispositivo. Una volta installato, il malware cerca di ottenere i permessi di root utilizzando un binario “su” modificato, esplorando le directory alla ricerca di un binario “mu”.
Ottenuto l’accesso root, LianSpy richiede e si auto-concede varie autorizzazioni, tra cui l’overlay dello schermo, l’accesso alle notifiche, ai contatti e ai registri delle chiamate. Queste autorizzazioni permettono al malware di compiere diverse azioni dannose, come catturare screenshot, rubare file e monitorare i registri delle chiamate.
Una delle capacità più preoccupanti di questo malware è la sua abilità di aggirare gli “Indicatori di privacy” introdotti con Android 12. Manipolando le impostazioni di sistema, il malware blocca le notifiche di registrazione dello schermo, mantenendo l’utente ignaro delle sue attività. Inoltre, LianSpy può rilevare se viene eseguito in un ambiente di analisi, complicando ulteriormente la sua individuazione.
La configurazione di LianSpy viene scaricata da un repository Yandex Disk e conservata localmente sul dispositivo infetto. Il malware stabilisce quali dati prendere di mira e gli intervalli tra l’acquisizione degli screenshot e l’esfiltrazione dei dati. Queste impostazioni persistono anche dopo il riavvio del dispositivo.
I dati rubati vengono crittografati con AES, garantendo che solo l’aggressore possa accedere alle informazioni. Questi dati vengono poi archiviati in una tabella SQL e successivamente caricati su Yandex Disk. Inoltre, LianSpy effettua periodicamente controlli di aggiornamento per ottenere nuove configurazioni che determinano le sue attività sul dispositivo.
Le capacità di elusione di LianSpy e l’uso di piattaforme legittime come Yandex complicano notevolmente le operazioni di attribuzione e rilevamento. Kaspersky ha osservato che questa campagna di attacchi prende di mira principalmente utenti russi, senza sovrapporsi ad altre campagne simili. Tuttavia, non si esclude che LianSpy possa essere utilizzato su scala più ampia, specialmente se il vettore di infezione iniziale è una vulnerabilità zero-day ancora sconosciuta.
