Yeni Android Casus Yazılımı LianSpy, Yandex Cloud Kullanarak Algılanmaktan Kaçıyor


06 Ağu 2024Ravie LakshmananAndroid / Kötü Amaçlı Yazılım

Android Casus Yazılım

Rusya’daki kullanıcılar, daha önce belgelenmemiş bir Android saldırı sonrası casus yazılımının hedefi oldu. Lian Casusu en azından 2021’den beri.

Kötü amaçlı yazılımı Mart 2024’te keşfeden siber güvenlik sağlayıcısı Kaspersky, özel bir altyapıya sahip olmaktan ve tespit edilmekten kaçınmak için komuta ve kontrol (C2) iletişimlerinde Rus bulut hizmeti Yandex Cloud’u kullandığını belirtti.

Güvenlik araştırmacısı Dmitry Kalinin, pazartesi günü yayınlanan yeni bir teknik raporda, “Bu tehdit, ekran görüntülerini ele geçirmek, kullanıcı dosyalarını sızdırmak, arama kayıtları ve uygulama listelerini toplamak için donatılmış” dedi.

Casus yazılımın nasıl dağıtıldığı şu anda net değil, ancak Rus siber güvenlik satıcısının bilinmeyen bir güvenlik açığı veya hedef telefona doğrudan fiziksel erişim yoluyla dağıtıldığı muhtemel. Kötü amaçlı yazılım içeren uygulamalar Alipay veya bir Android sistem hizmeti olarak gizlenmiştir.

Siber güvenlik

LianSpy etkinleştirildiğinde, yönetici ayrıcalıklarını kullanarak arka planda çalışmak üzere bir sistem uygulaması olarak mı çalıştığını, yoksa kişilere, arama kayıtlarına ve bildirimlere erişmesini ve ekranın üstüne katmanlar çizmesini sağlayan geniş bir yelpazede izinler mi istediğini belirliyor.

Ayrıca, yeniden başlatmalar boyunca kalıcı bir yapılandırma kurmak için bir hata ayıklama ortamında yürütülüp yürütülmediğini kontrol eder, ardından simgesini başlatıcıdan gizler ve ekran görüntüsü alma, veri sızdırma ve hangi tür bilgilerin yakalanması gerektiğini belirtmek için yapılandırmasını güncelleme gibi etkinlikleri tetikler.

Bazı varyantlarda, bunun Rusya’da popüler olan anlık mesajlaşma uygulamalarından veri toplama seçeneklerinin yanı sıra, kötü amaçlı yazılımın yalnızca Wi-Fi’ye veya mobil ağa bağlı olması durumunda çalıştırılmasına izin verme veya yasaklama gibi seçenekleri de içerdiği görüldü.

“Casus yazılım yapılandırmasını güncellemek için LianSpy, her 30 saniyede bir tehdit aktörünün Yandex Disk’inde “^frame_.+\\.png$” düzenli ifadesiyle eşleşen bir dosya arar,” dedi Kalinin. “Bulunursa, dosya uygulamanın dahili veri dizinine indirilir.”

Toplanan veriler, kayıt türünü ve SHA-256 karma değerini belirterek şifrelenmiş biçimde bir SQL veritabanı tablosunda saklanır; böylece yalnızca ilgili özel RSA anahtarına sahip olan tehdit aktörü çalınan bilgileri şifresini çözebilir.

LianSpy’ın gizliliğini ortaya koyduğu nokta, Android 12’de Google tarafından tanıtılan ve mikrofon ve kamera izinleri isteyen uygulamaların bir durum çubuğu simgesi göstermesini gerektiren gizlilik göstergeleri özelliğini aşabilme yeteneğidir.

Kalinin, “LianSpy geliştiricileri, Android güvenli ayar parametresi icon_blacklist’e bildirim simgelerinin durum çubuğunda görünmesini engelleyen bir döküm değeri ekleyerek bu korumayı aşmayı başardılar” dedi.

“LianSpy, durum çubuğu bildirimlerini işleyen ve bunları bastırabilen NotificationListenerService’i kullanarak çağırdığı arka plan servislerinden gelen bildirimleri gizler.”

Kötü amaçlı yazılımın bir diğer karmaşık yönü, kök erişimi elde etmek için değiştirilmiş “mu” adlı su ikili dosyasının kullanılmasını içeriyor; bu da daha önce bilinmeyen bir istismar veya fiziksel cihaz erişimi yoluyla iletilmiş olma olasılığını artırıyor.

Siber güvenlik

LianSpy’ın radar altında uçmaya verdiği önem, C2 iletişimlerinin tek yönlü olması ve kötü amaçlı yazılımın gelen hiçbir komutu almaması gerçeğinde de kanıtlanmıştır. Yandex Disk hizmeti, çalınan verileri iletmek ve yapılandırma komutlarını depolamak için kullanılır.

Yandex Disk için kimlik bilgileri, kötü amaçlı yazılım varyantlarına göre değişen sabit kodlu bir Pastebin URL’sinden güncellenir. Meşru hizmetlerin kullanımı, atıfları etkili bir şekilde bulandıran bir karartma katmanı ekler.

LianSpy, çoğunlukla sıfırıncı gün açıklarından yararlanarak mobil cihazları (Android veya iOS) hedef alan, giderek artan sayıda casus yazılım aracının arasına eklenen en son üründür.

Kalinin, “Arama kayıtları ve uygulama listeleri toplamak gibi standart casusluk taktiklerinin ötesinde, gizli ekran kaydı ve kaçınma için kök ayrıcalıklarından yararlanıyor,” dedi. “Yeniden adlandırılmış bir su ikilisine güvenmesi, ilk uzlaşmanın ardından ikincil bir enfeksiyonu güçlü bir şekilde akla getiriyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link