卡巴斯基研究人员发现了一种之前从未见过的间谍软件,该软件针对俄罗斯的 Android 用户,并且可能会部署到其他地区。
卡巴斯基的研究人员表示,这种被称为 LianSpy 的恶意软件至少自 2021 年以来就一直活跃,但由于其“复杂的规避技术”,直到今年春天才被发现和分析。
卡巴斯基称,他们在俄罗斯发现了 10 个间谍软件目标,但拒绝透露受害者是谁。研究人员表示,这不是大规模间谍活动,而是间谍软件操作员感染了特定目标。
该工具的开发者和购买者目前仍不得而知。卡巴斯基称,攻击者只使用公共服务(例如俄罗斯 Yandex Disk 云服务)而不是私人基础设施来窃取被盗数据和存储配置命令,因此很难“确定哪个黑客组织是这些攻击的幕后黑手”。
研究人员在周一发布的报告(https://securelist.com/lianspy-android-spyware/113253/)中表示:“LianSpy 背后的黑客采用了多种规避策略,例如利用俄罗斯云服务 Yandex Disk 进行 C2 通信。他们避免使用专用基础设施,并使用许多其他功能来防止间谍软件被发现。其中一些功能表明 LianSpy 很可能是通过未知漏洞或直接物理访问目标手机来部署的。”
LianSpy 可以做什么
LianSpy 会伪装成系统应用程序或金融服务,例如支付宝数字支付应用程序。
如果间谍软件作为系统应用程序运行,它会自动获得进一步利用所需的权限;否则,它会请求屏幕覆盖、通知、后台活动、联系人和通话记录的权限。
一旦激活,该间谍软件会将其图标隐藏在主屏幕上,并使用管理员权限在后台运行。该间谍软件通过拦截通话记录、向攻击者的服务器发送已安装应用程序列表以及记录智能手机屏幕(主要是在 Messenger 活动期间)来悄无声息地秘密监视用户活动。
研究人员表示,攻击者似乎对受害者的银行数据不感兴趣。
卡巴斯基表示,LianSpy 是一种后利用恶意软件,这意味着攻击者要么利用 Android 设备中未知的漏洞,要么通过获取受害者智能手机的物理访问权限来修改固件。
目前尚不清楚黑客如何使用他们获得的数据,但他们确保将这些数据安全地存储在他们的服务器上。为此,他们使用了一种加密方案,只有攻击者才能解密被盗信息。
由于用于过滤通知的关键短语部分为俄语,并且 LianSpy 的一些默认配置包括俄罗斯流行的消息应用程序的软件包名称,因此研究人员将这款间谍软件引向了俄罗斯。然而,“这款间谍软件采用的非常规方法也可能适用于其他地区。”
去年 6 月,卡巴斯基发现了另一起间谍活动,名为“三角测量行动”,该活动利用了 Apple 设备中的两个漏洞。该活动自 2019 年以来一直活跃,通过发送带有恶意附件的 iMessage 来攻击目标。
俄罗斯政府将“三角测量行动”行动归咎于美国,声称美国入侵了“数千部苹果手机”,以监视俄罗斯外交官。苹果否认了这些说法,卡巴斯基也没有将“三角测量行动”归咎于任何政府或已知的黑客组织。
卡巴斯基首席执行官尤金·卡巴斯基将之前的攻击活动描述为“一次极其复杂、专业针对性的网络攻击”,影响了“公司高层和中层管理人员等数十名员工的 iPhone”。
