Um malware para Android, até então desconhecido e denominado 'LightSpy', foi descoberto visando usuários russos, se passando no telefone como um aplicativo Alipay ou um serviço de sistema para evitar detecção.
A análise mostra que o LianSpy tem como alvo ativamente usuários do Android desde julho de 2021, mas suas amplas capacidades de ocultação ajudaram a permanecer não detectado por mais de três anos.
Pesquisadores da Kaspersky acreditam que os atores da ameaça usam uma vulnerabilidade zero-day ou têm acesso físico para infectar dispositivos com malware.
O malware obtém privilégios de root no dispositivo para tirar screenshots, roubar arquivos e coletar registros de chamadas.
"O LianSpy usa o binário su com um nome modificado para obter acesso root. As amostras de malware que analisamos tentam localizar um binário mu nos diretórios su padrão", explica o relatório da Kaspersky.
Isso indica um esforço para evitar detecção de root no dispositivo da vítima.
A aquisição de direitos de superusuário com tal grande dependência em um binário modificado sugere que o spyware foi provavelmente entregue através de um exploit anteriormente desconhecido ou acesso físico ao dispositivo.
Sua longa lista de recursos de evasão inclui contornar o recurso de segurança 'Privacy Indicators' no Android 12 e posteriores, que exibe um indicador na barra de status quando um aplicativo grava a tela ou ativa a câmera ou o microfone.
O LianSpy contorna esse recurso adicionando um valor 'cast' ao parâmetro de configuração da lista de bloqueio de ícones do Android, de modo que as notificações de cast são bloqueadas, deixando a vítima sem saber que sua tela está sendo gravada.
O malware LianSpy inclui uma ampla gama de recursos poderosos e mecanismos de evasão para se esconder em um dispositivo sem detecção.
A Kaspersky diz que, quando o malware é instalado, ele se apresenta como um serviço de sistema Android ou o aplicativo Alipay.
Uma vez iniciado, o LianSpy solicita permissões de sobreposição de tela, notificações, contatos, registros de chamadas e atividades em segundo plano ou as concede a si mesmo automaticamente se estiver executando como um aplicativo do sistema.
Em seguida, verifica se não está rodando em um ambiente de analista (sem debugger presente) e carrega sua configuração de um repositório do Yandex Disk.
A configuração é armazenada localmente em SharedPreferences, permitindo que persista entre reinicializações do dispositivo.
Determina quais dados serão visados, os intervalos de tempo para captura de tela e exfiltração de dados, e para quais aplicativos acionar a captura de tela usando a API de projeção de mídia.
WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat e Discord estão entre os muitos suportados para captura de tela seletiva, o que minimiza o risco de detecção.
Dados roubados são armazenados em forma criptografada AES em uma tabela SQL ('Con001') antes de serem exfiltrados para o Yandex Disk, exigindo uma chave privada RSA para leitura, garantindo que apenas o ator da ameaça tenha acesso.
O malware não recebe comandos ou atualizações de configuração, mas realiza verificações de atualização regularmente (a cada 30 segundos) para obter novas configurações.
Essas configurações são armazenadas como substrings nos dados de configuração, que informam ao malware quais atividades maliciosas devem ser realizadas no dispositivo infectado.
Uma lista de substrings vistas pela Kaspersky está listada abaixo:
Outro recurso que aumenta a stealth é o uso do 'NotificationListenerService' pelo LianSpy para suprimir notificações com frases-chave como "usando bateria" ou "rodando em segundo plano".
Frases codificadas são incluídas tanto em inglês quanto em russo, o que indica o público-alvo.
No entanto, a Kaspersky diz que seus dados de telemetria mostram que os atores da ameaça por trás do LianSpy estão atualmente focando em alvos russos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...