러시아 사용자는 이전에 문서화되지 않은 Android 사후 침해 스파이웨어의 표적이 되었습니다. 리안스파이 적어도 2021년부터요.
2024년 3월에 이 맬웨어를 발견한 사이버 보안 업체 카스퍼스키는 전용 인프라를 갖추지 않고 감지를 피하기 위해 러시아 클라우드 서비스인 Yandex Cloud를 사용해 명령 및 제어(C2) 통신을 수행한다고 밝혔습니다.
보안 연구원 드미트리 칼리닌은 월요일에 발표한 새로운 기술 보고서에서 “이 위협은 스크린캐스트를 캡처하고, 사용자 파일을 빼내고, 통화 기록과 앱 목록을 수집할 수 있도록 갖춰져 있습니다.”라고 밝혔습니다.
현재 스파이웨어가 어떻게 배포되는지는 명확하지 않지만, 러시아 사이버 보안 공급업체는 알려지지 않은 보안 결함이나 대상 전화에 대한 직접적인 물리적 접근을 통해 배포되었을 가능성이 높습니다. 맬웨어가 섞인 앱은 Alipay 또는 Android 시스템 서비스로 위장되어 있습니다.
LianSpy는 활성화되면 관리자 권한을 사용하여 백그라운드에서 작동하는 시스템 앱으로 실행할지 아니면 연락처, 통화 기록, 알림에 액세스하고 화면 위에 오버레이를 그릴 수 있도록 광범위한 권한을 요청할지 결정합니다.
또한 재부팅 후에도 유지되는 구성을 설정하기 위해 디버깅 환경에서 실행되는지 확인한 다음 런처에서 아이콘을 숨기고 스크린샷 찍기, 데이터 추출, 구성 업데이트와 같은 활동을 트리거하여 어떤 종류의 정보를 캡처해야 하는지 지정합니다.
일부 변형에서는 러시아에서 인기 있는 인스턴트 메신저 앱에서 데이터를 수집하는 옵션이나 Wi-Fi나 모바일 네트워크에 연결된 경우에만 맬웨어를 실행하는 것을 허용하거나 금지하는 옵션이 포함된 것으로 밝혀졌습니다.
“스파이웨어 구성을 업데이트하기 위해 LianSpy는 위협 행위자의 Yandex Disk에서 30초마다 정규 표현식 “^frame_.+\.png$”와 일치하는 파일을 검색합니다.” Kalinin이 말했습니다. “파일이 발견되면 해당 애플리케이션의 내부 데이터 디렉터리에 다운로드됩니다.”
수집된 데이터는 SQL 데이터베이스 테이블에 암호화된 형태로 저장되며, 레코드 유형과 SHA-256 해시가 지정되어 있으므로 해당 개인 RSA 키를 소지한 위협 행위자만이 훔친 정보를 해독할 수 있습니다.
LianSpy의 은밀함을 보여주는 부분은 Google이 Android 12에서 도입한 개인정보 보호 표시기 기능을 우회하는 능력입니다. 이 기능을 사용하려면 마이크와 카메라 권한을 요청하는 앱에 상태 표시줄 아이콘이 필요합니다.
Kalinin은 “LianSpy 개발자는 Android 보안 설정 매개변수 icon_blacklist에 캐스트 값을 추가하여 이러한 보호 기능을 우회하는 데 성공했습니다. 이를 통해 상태 표시줄에 알림 아이콘이 나타나는 것을 방지할 수 있었습니다.”라고 지적했습니다.
“LianSpy는 상태 표시줄 알림을 처리하고 억제할 수 있는 NotificationListenerService를 활용하여 호출하는 백그라운드 서비스의 알림을 숨깁니다.”
이 악성 프로그램의 또 다른 정교한 측면은 “mu”라는 수정된 이름의 su 바이너리를 사용하여 루트 접근 권한을 얻는 것입니다. 이는 이전에 알려지지 않은 익스플로잇이나 물리적 장치 접근을 통해 전달되었을 가능성이 크다는 것을 의미합니다.
LianSpy가 레이더 아래에서 비행하는 데 중점을 두는 것은 C2 통신이 단방향이라는 사실에서도 입증되며, 맬웨어는 들어오는 명령을 전혀 받지 않습니다. Yandex Disk 서비스는 도난된 데이터를 전송하고 구성 명령을 저장하는 데 사용됩니다.
Yandex Disk의 자격 증명은 맬웨어 변형에 따라 달라지는 하드코딩된 Pastebin URL에서 업데이트됩니다. 합법적인 서비스를 사용하면 난독화 계층이 추가되어 귀속이 효과적으로 흐려집니다.
LianSpy는 모바일 기기(Android, iOS 등)를 노리는 스파이웨어 도구 목록에 가장 최근에 추가된 도구입니다. 이 도구는 제로데이 결함을 이용해 주로 대상 모바일 기기를 노립니다.
칼리닌은 “통화 기록과 앱 목록을 수집하는 것과 같은 표준적인 스파이 전술을 넘어, 은밀한 화면 녹화와 회피를 위해 루트 권한을 활용합니다.”라고 말했습니다. “이름이 바뀐 su 바이너리에 대한 의존성은 초기 침해 이후의 2차 감염을 강력히 시사합니다.”
