Siber güvenlik uzmanları, kullanıcıların hassas verilerini çalmayı hedefleyen gelişmiş bir Android casus yazılımı olan LianSpy’ı ortaya çıkardı.
Bu casus yazılım, gelişmiş kaçınma teknikleri kullanarak dünya çapındaki Android cihaz kullanıcıları için önemli bir tehdit oluşturuyor.
LianSpy Nasıl Çalışır?
LianSpy, bir sistem uygulaması olarak çalışıp çalışmadığını belirleyerek çalışmaya başlar ve ona otomatik izinler verir.
Aksi takdirde, ekran kaplaması, bildirimler, arka plan etkinliği, kişiler, çağrı kayıtları ve daha fazlası için izinler ister. Yetkilendirildikten sonra, hata ayıklama ortamında çalışmadığını doğrular.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
SecureList raporuna göre, casus yazılım yapılandırmasını önceden tanımlanmış değerlerle ayarlıyor ve bu verileri, yaygın bir uygulama veri depolama mekanizması olan SharedPreferences aracılığıyla yerel olarak depoluyor.
Bu yapılandırma cihaz yeniden başlatmaları boyunca devam eder ve belirli casus yazılım ayarlarına bağlı tamsayı anahtarlarını kullanır. LianSpy’ın temel işlevleri şunları içerir:
- Yüklü uygulamaların, arama kayıtlarının ve kişi listelerinin toplanması.
- Medya projeksiyon API’si aracılığıyla ekran görüntüleri alın ve ekran görüntüleri yakalayın.
- Belirli aralıklarla verilerin dışarı sızdırılması.
LianSpy, tespit edilmemek için birkaç alışılmadık ve karmaşık kaçınma tekniği kullanır. Uyum sağlamak için Alipay uygulaması gibi meşru bir uygulama veya bir sistem hizmeti gibi görünür.
Özellikle, hassas verilere erişildiğinde durum çubuğu simgeleri görüntüleyen Android 12’nin gizlilik göstergelerini atlar. Bunu, Android güvenli ayar parametresi icon_blacklist’e bir döküm değeri ekleyerek ve bildirim simgelerinin görünmesini engelleyerek başarır.
Ayrıca, LianSpy, durum çubuğu bildirimlerini işleyen ve bunları bastırabilen NotificationListenerService’i kullanarak arka plan hizmetlerinden gelen bildirimleri gizler. Bu, casus yazılımın kullanıcıyı uyarmadan çalışmasına olanak tanır.
Veri Şifreleme ve Sızdırma
Çalınan veriler, kayıt türünü (cihaz bilgileri, kişi listesi, arama kayıtları vb.) ve SHA-256 karma değerini içeren Con001 adlı bir SQL tablosunda şifreli olarak saklanıyor.
Şifreleme şeması, güvenli bir sözde rastgele sayı üreteci (PRNG) kullanarak bir AES anahtarı oluşturmayı ve bu anahtarı sabit kodlanmış genel bir RSA anahtarıyla şifrelemeyi içerir. Yalnızca karşılık gelen özel RSA anahtarına sahip tehdit aktörü çalınan verileri şifresini çözebilir.
LianSpy, veri sızdırma ve yapılandırma komutlarını depolamak için Yandex Disk gibi meşru bulut hizmetlerini kullanır.
Meşru platformlara bu şekilde güvenmek, atıf yapmayı zorlaştırıyor ve tehlikeye atılmış bir cihazdan gelen kötü amaçlı web etkinliğini neredeyse tespit edilemez hale getiriyor.
LianSpy’ın öncelikli olarak Rus kullanıcıları hedef aldığı, bildirimleri filtrelemek için kullanılan anahtar ifadelerden ve Rusya’da popüler mesajlaşma uygulamalarının paket adları da dahil olmak üzere türevlerinin varsayılan yapılandırmalarından anlaşılıyor.
Kaspersky Security Network (KSN) telemetrisi de bunu doğruluyor ve Rus kullanıcıların LianSpy saldırılarının kurbanı olduğunu gösteriyor.
LianSpy, gelişmiş kaçınma teknikleri ve güçlü şifreleme yöntemleriyle Android casus yazılımlarında önemli bir ilerlemeyi temsil ediyor.
Kullanıcıların, bu tür casus yazılım saldırılarının riskini azaltmak için dikkatli olmaları ve cihazlarını güncel güvenlik önlemleriyle korumaları önerilir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access