LianSpy:針對Android用戶的新流動間諜程式

間諜程式作為一款監視特定受害者的危險工具,目標通常是某家公司的員工,又或者某國家的居民等,而新發現的流動間諜程式LianSpy雖然暫時只針對俄羅斯的Android用戶,但程式本身具備在其他地方應用的能力。

甚麼是LianSpy

LianSpy在今年3月被研究人員發現,但數據顯示它已經活躍了至少3年,大約堑2021年7月,攻擊者一直極力隱藏他們的蹤跡,令它能一直潛伏3年之久,程式一旦啟動,惡意程式便會利用根權限把圖示隱藏,並於背景中執行,使它能繞過Android狀態列的通知,正常情況下會通知受害者智能電話正在使用相機或咪高峰。

LianSpy偽裝自己為系統應用程式和金融服務,但攻擊者對受害者的銀行資料並不感興趣,程式會靜靜、謹慎地攔截通話記錄來監視用戶活動,並發送已安裝應用程式清單到攻擊者的伺服器,並且主要在使用通訊軟件時錄影智能電話的螢幕。

需要受害者互動觸發

LianSpy並沒有使用零時差安全漏洞,而是需要受害者採取某些行動,在啟動時,惡意程式檢查是否擁有護取通訊錄和通話記錄的權限,如果沒有便會向用戶提出要求,成功後便登記Android Broadcast Receiver去取得關於系統的事件,藉此開始和停止各種惡意工作。LianSpy在使用根權限時也與眾不同,並沒有取得裝置的完全控制,只使用了超級用戶的部份功能,例如防止他們被防護方案偵測。

以LianSpy的類型來考慮,攻擊者一是利用安全漏洞去root Andorid裝置,一是透過物理接觸對韌體進行修改,可惜暫時仍未知道攻擊者使用哪一個安全漏洞作案。LianSpy的另一個功能是結合使用對稱(一條金鑰用於加密和觸密資訊)和非對稱(分開金鑰和私鑰)加密,在被盜竊之前,資料透過對稱演算法加密,而金鑰則採用非對稱加密,只有攻擊者持有私鑰,更多詳細資料可瀏覽Securelist

防範間諜程式的監視

  • 只從官方渠道下載應用程式,但也要小心被間諜程式滲透。
  • 定期更新操作系統,並非所有惡意程式能應對新保安功能。
  • 使用受信任開發者的有名應用程式,避免使用即時通訊或其他服務的替代客端,因為可能含有惡意編碼。
  • 使用可靠的防護方案
  • 只批准應用程式功能要的權限

資料來源:Kaspersky Blog