自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。

网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。

安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。

目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。

LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。

它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。

某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。

Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式'^frame_.+.png$'匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。”

并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。

LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。

它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。

LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为"mu"的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。

此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。

LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”

参考来源：

https://thehackernews.com/2024/08/new-android-spyware-lianspy-evades.html