Software espía móvil LianSpy
Desde al menos 2021, los usuarios de Rusia han sido atacados por un software espía post-compromiso de Android previamente indocumentado conocido como LianSpy. Los investigadores de ciberseguridad descubrieron este malware en marzo de 2024. Los expertos destacaron su uso de Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2), lo que le permite evitar una infraestructura dedicada y evadir la detección. LianSpy es capaz de capturar capturas de pantalla, extraer archivos de usuario y recopilar registros de llamadas y listas de aplicaciones.
El método de distribución de este software espía aún no está claro, pero los investigadores sugieren que probablemente se implemente a través de una falla de seguridad desconocida o mediante acceso físico directo al teléfono objetivo. Las aplicaciones plagadas de malware están disfrazadas de Alipay o un servicio del sistema Android.
Tabla de contenido
¿Cómo funciona el software espía LianSpy?
Una vez activado, LianSpy determina si se está ejecutando como una aplicación del sistema para operar en segundo plano con privilegios de administrador. De lo contrario, solicita una amplia gama de permisos para acceder a contactos, registros de llamadas, notificaciones y dibujar superposiciones en la pantalla.
El software espía también comprueba si se está ejecutando en un entorno de depuración para establecer una configuración que persista tras los reinicios. Luego oculta su icono del iniciador y activa actividades, como tomar capturas de pantalla, extraer datos y actualizar su configuración para especificar los tipos de información a capturar.
En algunas variantes, LianSpy incluye opciones para recopilar datos de aplicaciones de mensajería instantánea populares en Rusia y controlar si el malware se ejecuta sólo cuando está conectado a Wi-Fi o a una red móvil, entre otras configuraciones.
Para actualizar su configuración, LianSpy busca cada 30 segundos un archivo en el disco Yandex de un actor de amenazas que coincida con la expresión regular '^frame_.+.png$'. Si se encuentra, el archivo se descarga en el directorio de datos interno de la aplicación.
Las capacidades sigilosas del software espía LianSpy
Los datos recopilados se cifran y se almacenan en una tabla de base de datos SQL, que registra el tipo de datos y su hash SHA-256. Sólo un actor de amenazas con la clave RSA privada correspondiente puede descifrar esta información robada.
LianSpy demuestra su sigilo al eludir la función de indicadores de privacidad introducida en Android 12, que requiere que las aplicaciones que solicitan permisos de micrófono y cámara muestren un ícono en la barra de estado.
Los desarrolladores de LianSpy lograron eludir esta protección agregando un valor de conversión al parámetro de configuración segura de Android 'icon_blacklist', lo que evita que aparezcan íconos de notificación en la barra de estado. Además, LianSpy oculta las notificaciones de los servicios en segundo plano que invoca mediante el uso de 'NotificationListenerService' para procesar y suprimir las notificaciones de la barra de estado.
Los actores de amenazas aprovechan cada vez más los servicios legítimos
Una característica sofisticada de LianSpy implica el uso del binario 'su', rebautizado como 'mu', para obtener acceso de root. Esto indica que es probable que el malware se transmita a través de un exploit desconocido o de un acceso físico al dispositivo.
LianSpy también enfatiza el sigilo al implementar comunicaciones unidireccionales de comando y control (C2), lo que significa que el malware no recibe comandos entrantes. Utiliza Yandex Disk tanto para transmitir datos recopilados como para almacenar comandos de configuración.
Las credenciales para Yandex Disk se actualizan a través de una URL de Pastebin codificada, que varía según las variantes de malware. El uso de servicios legítimos añade una capa adicional de ofuscación, lo que complica la atribución.
Como la última entrada en una gama cada vez mayor de herramientas de software espía, LianSpy apunta a dispositivos móviles (tanto Android como iOS) explotando vulnerabilidades de día cero. Además de las tácticas de espionaje estándar, como recopilar registros de llamadas y listas de aplicaciones, emplea privilegios de root para evadir y grabar pantallas encubiertas. El uso de un binario renombrado 'su' sugiere que puede implicar una infección secundaria después de un compromiso inicial.
