06 de agosto de 2024Ravie LakshmananAndroid / Malware Los usuarios de Rusia han sido el objetivo de un software espía de Android no documentado anteriormente llamado LianSpy desde al menos 2021. El proveedor de ciberseguridad Kaspersky, que descubrió el malware en marzo de 2024, señaló su uso de Yandex Cloud, un servicio en la nube ruso, para comunicaciones de comando y control (C2) como una forma de evitar tener una infraestructura dedicada y evadir la detección. «Esta amenaza está equipada para capturar capturas de pantalla, exfiltrar archivos de usuario y recolectar registros de llamadas y listas de aplicaciones», dijo el investigador de seguridad Dmitry Kalinin en un nuevo informe técnico publicado el lunes. Actualmente no está claro cómo se distribuye el software espía, pero es probable que el proveedor de ciberseguridad ruso se implemente a través de una falla de seguridad desconocida o acceso físico directo al teléfono objetivo. Las aplicaciones cargadas con malware están disfrazadas de Alipay o un servicio del sistema Android. LianSpy, una vez activado, determina si se está ejecutando como una aplicación del sistema para operar en segundo plano utilizando privilegios de administrador, o bien solicita una amplia gama de permisos que le permiten acceder a contactos, registros de llamadas y notificaciones, y dibujar superposiciones sobre la pantalla. También comprueba si se está ejecutando en un entorno de depuración para establecer una configuración que persista tras los reinicios, para luego ocultar su icono del lanzador y activar actividades como tomar capturas de pantalla, extraer datos y actualizar su configuración para especificar qué tipo de información se debe capturar. En algunas variantes, se ha descubierto que esto incluye opciones para recopilar datos de aplicaciones de mensajería instantánea populares en Rusia, así como permitir o prohibir la ejecución del malware solo si está conectado a Wi-Fi o a una red móvil, entre otras. «Para actualizar la configuración del software espía, LianSpy busca un archivo que coincida con la expresión regular «^frame_.+\\.png$» en el disco Yandex de un actor de amenazas cada 30 segundos», dijo Kalinin. «Si se encuentra, el archivo se descarga en el directorio de datos interno de la aplicación». Los datos recopilados se almacenan de forma cifrada en una tabla de base de datos SQL, especificando el tipo de registro y su hash SHA-256, de modo que solo un actor de amenazas en posesión de la clave RSA privada correspondiente puede descifrar la información robada. Donde LianSpy muestra su sigilo es en su capacidad para eludir la función de indicadores de privacidad introducida por Google en Android 12, que requiere que las aplicaciones que solicitan permisos de micrófono y cámara muestren un icono en la barra de estado. «Los desarrolladores de LianSpy han logrado eludir esta protección añadiendo un valor de conversión al parámetro de configuración segura de Android icon_blacklist, que evita que aparezcan iconos de notificación en la barra de estado», señaló Kalinin. «LianSpy oculta las notificaciones de los servicios en segundo plano a los que llama aprovechando el NotificationListenerService que procesa las notificaciones de la barra de estado y puede suprimirlas». Otro aspecto sofisticado del malware implica el uso del binario su con un nombre modificado «mu» para obtener acceso a la raíz, lo que aumenta la posibilidad de que probablemente se distribuya a través de un exploit previamente desconocido o el acceso al dispositivo físico. El énfasis de LianSpy en pasar desapercibido también se evidencia en el hecho de que las comunicaciones C2 son unidireccionales, y el malware no recibe ningún comando entrante. El servicio Yandex Disk se utiliza para transmitir datos robados y almacenar comandos de configuración. Las credenciales para Yandex Disk se actualizan desde una URL Pastebin codificada, que varía según las variantes del malware. El uso de servicios legítimos agrega una capa de ofuscación, lo que enturbia de manera efectiva la atribución. LianSpy es la última incorporación a una lista creciente de herramientas de spyware, que a menudo se envían a dispositivos móviles objetivo, ya sean Android o iOS, aprovechando fallas de día cero. «Más allá de las tácticas de espionaje estándar, como la recolección de registros de llamadas y listas de aplicaciones, aprovecha los privilegios de root para la grabación de pantalla encubierta y la evasión», dijo Kalinin. «Su dependencia de un binario su renombrado sugiere fuertemente una infección secundaria después de un compromiso inicial». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.