LianSpy è un nuovo spyware Android in grado di eludere la rilevazione sfruttando Yandex Cloud. Gli utenti in Russia sono stati presi di mira da questo spyware dal 2021. Kaspersky, il noto vendor di cybersecurity, ha scoperto questo malware nel marzo 2024. LianSpy utilizza Yandex Cloud per le comunicazioni di comando e controllo (C2), evitando così l'infrastruttura dedicata e migliorando la sua capacità di eludere la rilevazione.

LianSpy è in grado di catturare screencast, esfiltrare file degli utenti e raccogliere registri delle chiamate e liste delle app. Non è ancora chiaro come lo spyware venga distribuito, ma è probabile che venga diffuso tramite una vulnerabilità di sicurezza sconosciuta o accesso fisico diretto al telefono della vittima. Le app infette sono spesso mascherate come Alipay o come servizio di sistema Android.

Una volta attivato, LianSpy verifica se sta operando come app di sistema per funzionare in background con privilegi di amministratore. In caso contrario, richiede una vasta gamma di permessi per accedere a contatti, registri delle chiamate, notifiche e sovrapposizioni dello schermo. Inoltre, controlla se sta eseguendo in un ambiente di debug per configurarsi in modo da persistere dopo i riavvii e nasconde la sua icona dal launcher.

In alcune varianti, lo spyware è in grado di raccogliere dati dalle app di messaggistica istantanea popolari in Russia e di eseguire il malware solo se connesso a una rete Wi-Fi o mobile specifica. Per aggiornare la configurazione dello spyware, LianSpy cerca un file conforme all'espressione regolare "^frame_.+\.png$" su Yandex Disk ogni 30 secondi. Se trovato, il file viene scaricato nella directory dati interna dell'applicazione.

I dati raccolti vengono memorizzati in forma criptata in una tabella di database SQL, specificando il tipo di record e il suo hash SHA-256, in modo che solo un attore di minaccia in possesso della chiave privata RSA corrispondente possa decriptare le informazioni rubate. LianSpy è particolarmente abile nel bypassare le funzionalità di privacy introdotte da Google in Android 12, che richiedono alle app di mostrare un'icona nella barra di stato quando richiedono permessi per il microfono e la fotocamera.

LianSpy riesce a eludere questa protezione aggiungendo un valore di cast al parametro icon_blacklist nelle impostazioni di sicurezza di Android, impedendo così la visualizzazione delle icone di notifica nella barra di stato. Inoltre, nasconde le notifiche dai servizi in background utilizzando il NotificationListenerService, che è in grado di sopprimere le notifiche della barra di stato. Un altro aspetto sofisticato del malware è l'uso del binary su con un nome modificato "mu" per ottenere l'accesso root, suggerendo che potrebbe essere stato distribuito tramite un exploit sconosciuto o accesso fisico al dispositivo.

Le comunicazioni C2 di LianSpy sono unidirezionali, senza ricevere comandi in entrata, e il servizio Yandex Disk viene utilizzato sia per trasmettere i dati rubati sia per memorizzare i comandi di configurazione. Le credenziali per Yandex Disk vengono aggiornate da un URL Pastebin codificato che varia tra le diverse varianti del malware. L'uso di servizi legittimi aggiunge un ulteriore strato di offuscamento, rendendo difficile l'attribuzione.