Se ha identificado un malware para Android identificado como ‘LianSpy’ (previamente llamado ‘LightSpy‘), el cual se dirige a usuarios haciéndose pasar por una aplicación de Alipay. El malware ha estado atacando activamente desde julio de 2021, pero sus sofisticadas capacidades de sigilo le permitieron permanecer sin ser detectado durante más de tres años.
Investigadores de Kaspersky creen que los atacantes utilizan una vulnerabilidad Zero-Day o tienen acceso físico a los equipos para infectarlos con el malware. Este obtiene privilegios de root en el dispositivo, permitiéndole tomar capturas de pantalla, robar archivos y recopilar registros de llamadas.
LianSpy tiene la capacidad de omitir la función de seguridad ‘Indicadores de privacidad’ en Android 12 y versiones posteriores, que muestra un indicador en la barra de estado cuando una aplicación graba la pantalla o activa la cámara o el micrófono. Evade esta función al agregar un valor de ‘transmisión’ al parámetro de configuración de la lista de bloqueo de íconos de Android, bloqueando así las notificaciones de transmisión y dejando a la víctima sin saber que su pantalla está siendo grabada.
Una vez instalado, el malware se publica como un servicio del sistema Android o la aplicación Alipay. Este, solicita permisos para superposición de pantalla, notificaciones, contactos, registros de llamadas y actividad en segundo plano, o se los otorga automáticamente si se ejecuta como una aplicación del sistema.
Verifica que no se esté ejecutando en un entorno de análisis y carga su configuración desde un repositorio de Yandex Disk. La configuración se almacena localmente en SharedPreferences, lo que permite que persista entre reinicios del dispositivo.
El malware determina los datos que se van a captar, los intervalos de tiempo para tomar capturas de pantalla y exfiltrar datos, y las aplicaciones que deben activar la captura de pantalla para utilizar la API de proyección de medios (WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat y Discord).
Los datos robados se almacenan en forma encriptada AES en una tabla SQL antes de ser enviados a Yandex Disk, requiriendo una clave RSA privada para su lectura, asegurando que solo el actor de amenazas tenga acceso.
‘LianSpy‘ realiza comprobaciones de actualización cada 30 segundos para obtener nuevos ajustes. Estos se almacenan como subcadenas en los datos de configuración, indicando al malware qué actividades maliciosas realizar en el dispositivo infectado.
A continuación se muestra una lista de subcadenas:
| Comando | Descripción |
| *con+ | *con- | Habilitar y deshabilitar la recopilación de listas de contactos. |
| *clg+ | *clg- | Habilitar y deshabilitar la recopilación de registros de llamadas. |
| *app+ | *app- | Habilitar y deshabilitar la recopilación de la lista de aplicaciones instaladas. |
| *rsr+ | *rsr- | Programar la toma de capturas de pantalla y dejar de hacerlo. |
| *nrs+ | *nrs- | Habilitar y deshabilitar la grabación de pantalla |
| *swl | Establecer una nueva lista de aplicaciones, almacenada justo después de la cadena de comandos, para la grabación de pantalla. |
| *wif+ | *wif- | Permitir y prohibir que se ejecute si el dispositivo está conectado a una red Wi-Fi |
| *mob+ | *mob- | Permitir y prohibir la ejecución si el dispositivo está conectado a la red móvil |
| *sci | Establecer el intervalo de captura de pantalla en milisegundos |
| *sbi | Establecer el intervalo entre tareas de exfiltración de datos en milisegundos |
Fuente:
LianSpy: Android spyware leveraging Yandex Disk as C2 | Securelist
Ciberprisma - alianza por la ciberseguridad 