برنامج التجسس الجديد لنظام Android LianSpy يتجنب اكتشافه باستخدام Yandex Cloud
كان المستخدمون في روسيا هدفًا لبرنامج تجسس غير موثق سابقًا لنظام Android يسمى LianSpy منذ عام 2021 على الأقل.
لاحظت شركة الأمن السيبراني Kaspersky، التي اكتشفت البرامج الضارة في مارس 2024، استخدامها لخدمة Yandex Cloud، وهي خدمة سحابية روسية، لاتصالات القيادة والتحكم (C2) كوسيلة لتجنب وجود بنية تحتية مخصصة وتجنب الاكتشاف.
وقال الباحث الأمني ديمتري كالينين: “هذا التهديد مجهز لالتقاط لقطات الشاشة، وتصفية ملفات المستخدم، وجمع سجلات المكالمات وقوائم التطبيقات”. قال في تقرير فني جديد نشر يوم الاثنين.
ليس من الواضح حاليًا كيفية توزيع برامج التجسس، ولكن من المحتمل أن يتم نشر بائع الأمن السيبراني الروسي إما من خلال ثغرة أمنية غير معروفة أو الوصول المادي المباشر إلى الهاتف المستهدف. يتم إخفاء التطبيقات التي تحتوي على برامج ضارة على أنها خدمة Alipay أو نظام Android.
يحدد LianSpy، بمجرد تنشيطه، ما إذا كان يعمل كتطبيق نظام ليعمل في الخلفية باستخدام امتيازات المسؤول، أو يطلب مجموعة واسعة من الأذونات التي تسمح له بالوصول إلى جهات الاتصال وسجلات المكالمات والإشعارات ورسم التراكبات أعلى الشاشة.
كما أنه يتحقق مما إذا كان يتم تنفيذه في بيئة تصحيح الأخطاء لإعداد تكوين يستمر عبر عمليات إعادة التشغيل، متبوعًا بإخفاء الرمز الخاص به من المشغل وتشغيل الأنشطة مثل التقاط لقطات الشاشة وتصفية البيانات وتحديث تكوينه لتحديد أنواع المعلومات التي يحتاجها ليتم القبض عليه.
في بعض المتغيرات، وجد أن هذا يتضمن خيارات لجمع البيانات من تطبيقات المراسلة الفورية الشائعة في روسيا بالإضافة إلى السماح أو حظر تشغيل البرامج الضارة فقط إذا كانت متصلة بشبكة Wi-Fi أو شبكة الهاتف المحمول، من بين أمور أخرى.
وقال كالينين: “لتحديث تكوين برامج التجسس، يبحث LianSpy عن ملف يطابق التعبير العادي “^frame_.+\\.png$” على قرص Yandex الخاص بممثل التهديد كل 30 ثانية”. “إذا تم العثور عليه، فسيتم تنزيل الملف إلى دليل البيانات الداخلي للتطبيق.”
يتم تخزين البيانات المجمعة في شكل مشفر في جدول قاعدة بيانات SQL، مع تحديد نوع السجل وتجزئة SHA-256 الخاصة به، بحيث لا يتمكن سوى جهة التهديد التي تمتلك مفتاح RSA الخاص المقابل من فك تشفير المعلومات المسروقة.
حيث يعرض LianSpy قدرته على التخفي في قدرته على تجاوز مؤشرات الخصوصية الميزة التي قدمتها جوجل في نظام التشغيل Android 12، والتي تتطلب من التطبيقات التي تطلب أذونات الميكروفون والكاميرا عرض رمز شريط الحالة.
وأشار كالينين إلى أن “مطوري LianSpy تمكنوا من تجاوز هذه الحماية عن طريق إلحاق قيمة الإرسال إلى معلمة الإعداد الآمن لنظام Android icon_blacklist، والتي تمنع ظهور أيقونات الإشعارات في شريط الحالة”.
“يخفي LianSpy الإشعارات من خدمات الخلفية التي يستدعيها من خلال الاستفادة من NotificationListenerService الذي يعالج إشعارات شريط الحالة ويكون قادرًا على منعها.”
هناك جانب متطور آخر للبرامج الضارة يستلزم استخدام ملف سو ثنائي مع اسم معدل “mu” للوصول إلى الجذر، مما يزيد من احتمال تسليمه من خلال استغلال غير معروف مسبقًا أو الوصول إلى الجهاز الفعلي.
ويتجلى أيضًا تركيز LianSpy على التحليق تحت الرادار في حقيقة أن اتصالات C2 أحادية الاتجاه، حيث لا تتلقى البرامج الضارة أي أوامر واردة. تُستخدم خدمة Yandex Disk لنقل البيانات المسروقة وتخزين أوامر التكوين.
يتم تحديث بيانات اعتماد Yandex Disk من عنوان URL مشفر لـ Pastebin، والذي يختلف باختلاف متغيرات البرامج الضارة. يضيف استخدام الخدمات المشروعة طبقة من التشويش، مما يؤدي إلى حجب الإسناد بشكل فعال.
LianSpy هو أحدث إضافة إلى قائمة متزايدة من أدوات برامج التجسس، والتي غالبًا ما يتم تسليمها لاستهداف الأجهزة المحمولة – سواء كانت Android أو iOS – من خلال الاستفادة من عيوب يوم الصفر.
وقال كالينين: “إلى جانب أساليب التجسس القياسية مثل جمع سجلات المكالمات وقوائم التطبيقات، فإنه يستفيد من امتيازات الجذر لتسجيل الشاشة والتهرب السري”. “إن اعتمادها على ثنائي su المعاد تسميته يشير بقوة إلى وجود عدوى ثانوية بعد التسوية الأولية.”
إرسال التعليق