Daha önce belgelenmemiş olan ‘LightSpy’ adlı bir Android zararlı yazılımının, Rus kullanıcılarını hedef aldığı ve tespit edilmekten kaçınmak için telefonlarda Alipay uygulaması veya sistem hizmeti gibi göründüğü keşfedildi.
Analizler, LianSpy’ın Temmuz 2021’den bu yana Android kullanıcılarını aktif olarak hedef aldığını, ancak kapsamlı gizlilik yetenekleri sayesinde üç yıldan fazla süredir tespit edilemediğini gösteriyor.
Kaspersky araştırmacıları, tehdit aktörlerinin cihazları kötü amaçlı yazılımla enfekte etmek için sıfır günlük bir güvenlik açığı kullandığına veya fiziksel erişime sahip olduğuna inanıyor. Kötü amaçlı yazılım, ekran görüntüleri almak, dosyaları çalmak ve çağrı günlüklerini toplamak için cihazda kök ayrıcalıkları elde ediyor.
“LianSpy, kök erişimi elde etmek için değiştirilmiş bir adla su ikili dosyasını kullanır. Analiz ettiğimiz kötü amaçlı yazılım örnekleri, varsayılan su dizinlerinde bir mu ikili dosyasını bulmaya çalışır,” diye açıklıyor Kaspersky raporu.
“Bu, kurbanın cihazında kök tespitinden kaçınma çabası olduğunu gösteriyor. Değiştirilmiş bir ikili dosyaya bu kadar güçlü bir şekilde güvenerek süper kullanıcı hakları elde etmek, casus yazılımın muhtemelen daha önce bilinmeyen bir istismar veya fiziksel cihaz erişimi yoluyla iletildiğini gösteriyor.”
Kaçınma özelliklerinin uzun listesi arasında, bir uygulama ekranı kaydettiğinde veya kamerayı veya mikrofonu etkinleştirdiğinde durum çubuğunda bir gösterge görüntüleyen Android 12 ve sonraki sürümlerdeki ‘Gizlilik Göstergeleri’ güvenlik özelliğini atlatmak da yer alıyor.
Kaynak: Google
LianSpy, Android’in simge engelleme listesi ayar parametresine ‘yayın’ değerini ekleyerek bu özelliği aşıyor, böylece yayın bildirimleri engelleniyor ve kurbanın ekranının kaydedildiğinden haberi olmuyor.
LianSpy operasyonu
LianSpy kötü amaçlı yazılımı, bir cihazda tespit edilmeden gizlenmek için çok çeşitli güçlü özellikler ve kaçınma mekanizmaları içerir.
Kaspersky, zararlı yazılımın yüklendiğinde bunu bir Android sistem hizmeti veya Alipay uygulaması olarak yayınlayacağını söylüyor.
LianSpy başlatıldığında ekran kaplaması, bildirimler, kişiler, arama kayıtları ve arka plan aktivite izinlerini ister veya sistem uygulaması olarak çalışıyorsa bunları otomatik olarak kendisine verir.
Daha sonra, bir analist ortamında çalışmadığından (hata ayıklayıcı mevcut olmadığından) emin olur ve yapılandırmasını bir Yandex Disk deposundan yükler.
Yapılandırma yerel olarak SharedPreferences’ta saklanır ve cihaz yeniden başlatıldığında kalıcı olmasını sağlar.
Hangi verilerin hedefleneceğini, ekran görüntüsü alma ve veri sızdırma zaman aralıklarını ve uygulamaların medya projeksiyon API’sini kullanarak ekran görüntüsü almayı tetiklemesini belirler.
Seçmeli ekran görüntüsü alma için desteklenen uygulamalar arasında WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat ve Discord yer alıyor ve bu sayede tespit edilme riski en aza indiriliyor.
Çalınan veriler, Yandex Disk’e sızdırılmadan önce bir SQL tablosunda (‘Con001’) AES şifreli biçimde saklanır ve bunu okumak için özel bir RSA anahtarı gerekir; böylece yalnızca tehdit aktörünün erişebildiğinden emin olunur.
Kötü amaçlı yazılım komut veya yapılandırma güncellemeleri almaz ancak yeni yapılandırma ayarlarını almak için düzenli olarak (her 30 saniyede bir) güncelleme kontrolleri gerçekleştirir. Bu ayarlar yapılandırma verilerinde alt dizeler olarak saklanır ve bu da kötü amaçlı yazılıma enfekte cihazda hangi kötü amaçlı etkinliklerin gerçekleştirilmesi gerektiğini söyler.
Kaspersky tarafından görülen alt dizelerin listesi aşağıda listelenmiştir:
| Alt dize (komut adı) | Tanım |
| *aleyhte+ | Kişi listesi toplamayı etkinleştir |
| *konu- | Kişi listesi toplamayı devre dışı bırak |
| *saç+ | Çağrı kaydı toplamayı etkinleştir |
| *clg- | Çağrı kaydı toplamayı devre dışı bırak |
| *uygulama+ | Yüklü uygulama listesinin toplanmasını etkinleştir |
| *uygulama- | Yüklü uygulama listesinin toplanmasını devre dışı bırak |
| *sr+ | Ekran görüntüsü almayı planla |
| *rsr- | Ekran görüntüsü almayı durdurun |
| *nr+ | Ekran kaydını etkinleştir |
| *nrs- | Ekran kaydını devre dışı bırak |
| *çal | Ekran kaydı için komut dizesinin hemen ardından saklanan yeni uygulama listesi ayarlayın |
| *karısı+ | Cihaz Wi-Fi’ye bağlıysa çalışmasına izin ver |
| *karısı- | Cihaz yalnızca Wi-Fi’ye bağlıysa çalışmasını yasakla |
| *kalabalık+ | Cihaz mobil ağa bağlıysa çalışmasına izin ver |
| *kalabalık- | Cihaz yalnızca mobil ağa bağlıysa çalışmasını yasakla |
| *bilim | Ekran görüntüsü alma aralığını milisaniye olarak ayarlayın |
| *sbi | Veri sızdırma görevleri arasındaki aralığı milisaniye cinsinden ayarlayın |
LianSpy’ın uzun listesindeki gizliliği artıran bir diğer özellik ise, “pil kullanımı” veya “arka planda çalışma” gibi anahtar ifadeler içeren bildirimlerin gösterilmesini engellemek için ‘NotificationListenerService’ kullanılmasıdır.
Hedef kitleyi belirten sabit kodlu ifadeler hem İngilizce hem de Rusça için eklenmiştir.
Ancak Kaspersky, telemetri verilerinin LianSpy’ın arkasındaki tehdit aktörlerinin şu anda Rus hedeflere odaklandığını gösterdiğini söylüyor.