LianSpy è il nuovo malware per Android che si nasconde manipolando le funzionalità di sicurezza

LianSpy è il nuovo malware per Android che si nasconde manipolando le funzionalità di sicurezza

La campagna è attiva dal 2021 ma passata inosservata fino ad ora grazie alle sofisticate capacità di elusione del malware e all'abuso di servizi legittimi di cloud storage

di pubblicata il , alle 16:43 nel canale Sicurezza
 

I ricercatori di sicurezza di Kaspersky hanno individuato un nuovo sofisticato malware per Android, battezzato "LianSpy", che risulta attivo dal mese di luglio 2021 ma è passato sotto traccia grazie alle sue avanzate capacità di elusione e prende di mira principalmente gli utenti russi.

LianSpy si camuffa come app Alipay o come servizio di sistema Android per evitare il rilevamento. Secondo i ricercatori di sicurezza è possibile che l'infezione iniziale avvenga tramite una vulnerabilità zero-day o attraverso l'accesso fisico al dispositivo. A seguito dell'installazione, il malware si occupa di ottenere i permessi di root, usando un binario "su" modificato, cercando di individuare un binario "mu" nelle directory predefinite.

Una volta ottenuto l'accesso root, il malware richiede o si auto-concede varie autorizzazioni, tra cui l'overlay dello schermo, l'accesso alle notifiche, ai contatti e ai registri delle chiamate. Una volta acquisite le autorizzazioni necessarie LianSpy può compiere diverse azioni, come catturare screenshot, rubare file e passare al setaccio i registri delle chiamate.

Tra le varie capacità di elusione si evidenzia in particolare la possibilità di aggirare gli "Indicatori di privacy" su Android 12 e versioni successive: in questo modo LianSpy manipola le impostazioni di sistema per bloccare le notifiche di registrazione dello schermo, lasciando l'utente ignaro di quanto stia avvenendo. LianSpy ha inoltre l'abilità di verificare se la sua esecuzione stia avvenendo in un ambiente di analisi.

La configurazione di LianSpy viene recuperata da un repository Yandex Disk e conservata poi in locale, e stabilisce quali dati prendere di mira, gli intervalli tra l'acquisizione degli screenshot e l'esfiltrazione di dati. Le impostazioni persistono anche dopo il riavvio del dispositivo. 

I dati rubati vengono crittografati con AES, così che solo l'aggressore possa accedere alle informazioni sottratte, e archiviati in una tabella SQL prima di essere caricati nuovamente su Yandex Disk. Infine LianSpy effettua periodicamente controlli di aggiornamento per ottenere nuove impostazioni di configurazione che determinano le sue attività sul dispositivo compromesso.

Le capacità di elusione e in particolare l'uso di piattaforme del tutto legittime come Yandex complicano le possibilità di attribuzione: Kaspersky osserva, come dicevamo, che questa campagna prende di mira utenti russi e al momento non risulta essere sovrapponibile con altre campagne con gli stessi bersagli. Non è tuttavia da escludere un successivo impiego su scala più ampia, specie se il vettore di infezione iniziale è una vulnerabilità zero-day ancora sconosciuta.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan06 Agosto 2024, 23:14 #1
Interessante che questi malware di alto o altissimo livelli siano stati scoperti da una società russa come Kaspersky. Dove stavano le decine di società di sicurezze occidentali?

Poi come non notare che Kaspersky è stata esclusa dal mercato USA e prossimamente lo sarà anche dal mercato europeo? Forse esistono virus buoni e virus cattivi insieme a società di sicurezza buone e cattive?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^