Bilinmeyen ve muhtemelen devlet destekli bir tehdit aktörü, daha önce görülmemiş bir mobil casus yazılım aracını kullanarak bilinmeyen sayıda Android akıllı telefon kullanıcısını gözetliyor. Araştırmacılara göre bu faaliyet en az üç yıldır devam ediyor.
Kaspersky’deki araştırmacılara göre, tehditi LianSpy olarak takip eden kampanya şimdiye kadar esas olarak Rusya’daki hedeflenen bireylere odaklanmıştı. Ancak casus yazılım operatörlerinin kötü amaçlı yazılımı dağıtmak için kullandıkları taktikler, Kaspersky’ye göre diğer bölgelerde de kolayca uygulanabilir.
Saldırı Sonrası Kötü Amaçlı Yazılım
“LianSpy, istismar sonrası bir Truva atıdır; yani saldırganlar, Android cihazları kökten değiştirmek için güvenlik açıklarından yararlanmış veya kurbanların cihazlarına fiziksel erişim sağlayarak aygıt yazılımını değiştirmiştir,” Kaspersky araştırmacısı Dmitry Kalinin bir blog yazısında şöyle yazdı: bu hafta. “Saldırganların önceki senaryoda hangi güvenlik açığını istismar etmiş olabilecekleri henüz belirsizliğini koruyor.”
LianSpy, hızla büyüyen casus yazılım araçları listesindeki en sonuncusudur. Liste, yaygın olarak kullanılan şu ürünleri içerir: NSO Grubu’nun Pegasus Yazılım ve Intellexa ittifakının Predator’ı. Araştırmacılar, son yıllarda iPhone ve Android akıllı telefon kullanıcılarını hedef alan bu kötü amaçlı yazılım örneklerini keşfettiler. Bu araçların başlıca alıcıları ve kullanıcıları genellikle muhalifleri, siyasi muhalifleri ve kendileri için ilgi çekici diğer kişileri gözetlemek isteyen hükümetler ve istihbarat teşkilatlarıdır.
Birçok durumda — geçen yılki gibi — Operasyon Üçgenleme iOS casus yazılım kampanyası — mobil casus yazılım araçlarının tedarikçileri, hedef cihazlarda kötü amaçlı yazılımlarını sunmak ve/veya çalıştırmak için Android ve iOS’taki sıfır günlük kusurları istismar etti. Diğer örneklerde, Android casus yazılım aracının da dahil olduğu BadBazaar geçen yıl ve başka bir casusluk aracı Kum saldırısı 2022 yılında tehdit aktörleri, resmi mobil uygulama mağazalarındaki popüler uygulamaların sahte sürümleri aracılığıyla casus yazılım dağıttı.
Üç Yıllık Bir Kampanya
Kaspersky araştırmacıları ilk olarak Mart 2024’te LianSpy ile karşılaştı ve arkasındaki kuruluşun Temmuz 2021’den beri casus yazılım aracını kullandığını hızla belirledi. Analizleri, saldırganların kötü amaçlı yazılımı sistem uygulamaları ve finansal uygulamalar kılığında dağıttığını ortaya koyuyor.
Bazı sözde sıfır tıklamalı casus yazılım araçlarıLianSpy’ın işlev görme yeteneği, bir dereceye kadar, kullanıcı etkileşimine bağlıdır. Kötü amaçlı yazılım başlatıldığında, ilk önce kurbanın cihazında görevini yürütmek için gereken izinlere sahip olup olmadığını kontrol eder. Gerekli izinlere sahip değilse, kötü amaçlı yazılım kullanıcıdan bunları sağlamasını ister. LianSpy izin aldığında, önyükleme, düşük pil ve ağ değişiklikleri gibi sistem olaylarını almak ve bunlara yanıt vermek için Android Yayın Alıcısı olarak bilinen şeyi kaydeder. Kaspersky araştırmacıları, LianSpy’ın kurban cihazında kök erişimi elde etmeye çalışmak için değiştirilmiş bir adla (“su” yerine “mu”) süper kullanıcı ikilisini kullandığını buldu. Kaspersky yetkilileri, bunun tehdit aktörünün önce cihaza başka bir şekilde eriştikten sonra kötü amaçlı yazılımı teslim ettiğinin bir göstergesi olduğunu söylüyor.
“Başlatıldığında, kötü amaçlı yazılım ana ekrandaki simgesini gizler ve kök ayrıcalıklarını kullanarak arka planda çalışır,” diye yazdı Kalinin. “Bu, genellikle kurbanı akıllı telefonun kamerayı veya mikrofonu aktif olarak kullandığı konusunda uyaran Android durum çubuğu bildirimlerini atlatmasını sağlar.”
Veri Toplama ve Sızdırma
LianSpy’ın birincil işlevi, arama kayıtlarını yakalayarak, özellikle kullanıcı mesaj gönderip alırken cihaz ekranını kaydederek ve kurban cihazda yüklü tüm uygulamaları sıralayarak kullanıcı etkinliğini sessizce izlemektir. Kötü amaçlı yazılımın arkasındaki tehdit aktörü, kötü amaçlı yazılımla iletişim kurmak veya toplanan verileri depolamak için özel altyapı kullanmamıştır. Bunun yerine, saldırgan bu işlevler için genel bulut platformlarını ve pastebin hizmetlerini kullanmıştır.
Kaspersky, “Tehdit aktörü, hem çalınan verileri dışarı çıkarmak hem de yapılandırma komutlarını depolamak için Yandex Disk’i kullanıyor. Mağdurun verileri ayrı bir Yandex Disk klasörüne yükleniyor” dedi. teknik yazı kötü amaçlı yazılım üzerinde.
Kaspersky’ye göre LianSpy ile ilgili ilginç bir nokta, kötü amaçlı yazılımın tehlikeye atılmış bir cihazda kök ayrıcalıklarını nasıl kullandığıdır. LianSpy, bir cihazın tam kontrolünü ele geçirmek için süper kullanıcı statüsünü kullanmak yerine, görevini sessizce yerine getirmek için mevcut işlevselliğin yalnızca yeterli kısmını kullanır. Güvenlik satıcısı, “İlginç bir şekilde, kök ayrıcalıkları güvenlik çözümleri tarafından tespit edilmelerini önlemek için kullanılır” diyor. Kaspersky araştırmacıları ayrıca LianSpy’ın sızdırdığı verileri şifrelemek için hem simetrik hem de asimetrik anahtarlar kullandığını buldular, bu da kurbanın kimliğinin belirlenmesini imkansız hale getiriyor.
Kalinin, “Arama kayıtları ve uygulama listeleri toplamak gibi standart casusluk taktiklerinin ötesinde, gizli ekran kaydı ve kaçınma için kök ayrıcalıklarından yararlanıyor,” dedi. “Finansal olarak motive edilmiş casus yazılımların aksine, LianSpy’ın anlık mesaj içeriğini yakalamaya odaklanması hedefli bir veri toplama operasyonuna işaret ediyor.”