Un actor de amenazas desconocido, y probablemente patrocinado por el estado, está utilizando una herramienta de espionaje móvil nunca antes vista para espiar a un número desconocido de usuarios de teléfonos inteligentes Android. Esta actividad se lleva a cabo desde hace al menos tres años, según los investigadores.
Hasta ahora, la campaña se ha centrado principalmente en personas objetivo en Rusia, según los investigadores de Kaspersky, que rastrean la amenaza bajo el nombre de LianSpy. Pero las tácticas que utilizan los operadores de software espía para implementar el malware también podrían aplicarse fácilmente en otras regiones, según Kaspersky.
Malware post-explotación
«LianSpy es un troyano post-explotación, lo que significa que los atacantes aprovecharon las vulnerabilidades para rootear los dispositivos Android o modificaron el firmware obteniendo acceso físico a los dispositivos de las víctimas», dijo un investigador de Kaspersky. Dmitry Kalinin escribió en una publicación de blog. esta semana. “Aún no está claro qué vulnerabilidad podrían haber aprovechado los atacantes en el primer escenario. »
LianSpy es la última de una lista cada vez mayor de herramientas antiespionaje. La lista incluye productos ampliamente utilizados como Grupo OSN software Pegasus y Depredador de la alianza Intellexa. En los últimos años, los investigadores han descubierto malware dirigido a usuarios de teléfonos inteligentes iPhone y Android. Los principales compradores –y usuarios– de estas herramientas suelen ser gobiernos y agencias de inteligencia que quieren espiar a disidentes, opositores políticos y otras personas de interés.
En muchos casos, como ocurrió el año pasado, Operación Triangulación Campaña de software espía para iOS: los proveedores de herramientas de software espía para dispositivos móviles explotaron las vulnerabilidades de día cero en Android e iOS para distribuir y/o ejecutar su malware en dispositivos específicos. En otros casos, incluido uno que involucra una herramienta de software espía para Android denominada mal bazar el año pasado y otra herramienta de espionaje denominada Golpe de arena En 2022, actores malintencionados distribuyeron software espía a través de versiones falsas de aplicaciones populares en tiendas oficiales de aplicaciones móviles.
Una campaña de tres años
Los investigadores de Kaspersky descubrieron LianSpy por primera vez en marzo de 2024 y rápidamente determinaron que la entidad detrás de él había estado usando la herramienta de software espía desde julio de 2021. Su análisis revela que los atacantes probablemente estén distribuyendo el malware disfrazado de aplicaciones del sistema y en aplicaciones financieras.
A diferencia de algunos de los llamados herramientas antispyware sin hacer clicLa capacidad de funcionamiento de LianSpy depende, hasta cierto punto, de la interacción del usuario. Una vez lanzado, el malware primero comprueba si tiene los permisos necesarios para llevar a cabo su misión en el dispositivo de la víctima. Si no tiene los permisos necesarios, el malware solicita al usuario que los proporcione. Cuando LianSpy obtiene permiso, registra lo que se llama un receptor de transmisión de Android para recibir y responder a eventos del sistema como inicio, batería baja y cambios de red. Los investigadores de Kaspersky descubrieron que LianSpy utiliza un binario de superusuario con un nombre modificado («mu» en lugar de «su») para intentar obtener acceso de root en el dispositivo de la víctima. Los funcionarios de Kaspersky dicen que esto indica que el actor de amenazas distribuyó el malware después de obtener acceso al dispositivo de otra manera.
«Al iniciarse, el malware oculta su ícono en la pantalla de inicio y se ejecuta en segundo plano usando privilegios de root», escribió Kalinin. “Esto le permite omitir las notificaciones de la barra de estado de Android, que generalmente alertan a la víctima de que el teléfono inteligente está usando activamente la cámara o el micrófono. »
Recopilación y exfiltración de datos.
La función principal de LianSpy es monitorear discretamente la actividad del usuario interceptando registros de llamadas, grabando la pantalla del dispositivo, especialmente cuando el usuario envía o recibe mensajes, y enumerando todas las aplicaciones instaladas en el dispositivo de la víctima. El actor de amenazas detrás del malware no utilizó infraestructura privada para comunicarse con el malware ni almacenar los datos recopilados. En cambio, el atacante utilizó plataformas de nube pública y servicios de Pastebin para estas funciones.
“El actor de amenazas utiliza Yandex Disk tanto para filtrar datos robados como para almacenar comandos de configuración. Los datos de la víctima se descargan en una carpeta separada de Yandex Disk”, dijo Kaspersky en un comunicado. escritura técnica sobre malware.
LianSpy tiene un aspecto interesante, según Kaspersky: utiliza sus privilegios de root en un dispositivo comprometido. En lugar de utilizar su estado de superusuario para tomar el control total de un dispositivo, LianSpy utiliza sólo las funciones disponibles suficientes para llevar a cabo su misión de manera discreta. «Es interesante observar que los privilegios de root se utilizan para evitar que las soluciones de seguridad los detecten», explica el proveedor de seguridad. Los investigadores de Kaspersky también descubrieron que LianSpy utiliza claves simétricas y asimétricas para cifrar los datos que extrae, lo que imposibilita la identificación de la víctima.
«Más allá de las tácticas clásicas de espionaje, como recopilar registros de llamadas y listas de aplicaciones, aprovecha los privilegios de root para evadir y grabar pantallas encubiertas», dijo Kalinin. “A diferencia del software espía con motivación financiera, el enfoque de LianSpy en capturar contenido de mensajes instantáneos indica una operación de recopilación de datos dirigida. »
