A pesar de su popularidad y amplia presencia en el mercado, el ecosistema de Android enfrenta constantes desafíos que ponen en riesgo la seguridad y privacidad de sus usuarios. Recientemente, se ha identificado un nuevo malware no documentado previamente para Android llamado 'LianSpy', que se dirige a usuarios rusos disfrazándose como una aplicación de Alipay o un servicio del sistema en los teléfonos, evitando así su detección.
El análisis revela que LianSpy ha estado atacando activamente a usuarios de Android desde julio de 2021. Gracias a sus avanzadas capacidades de sigilo, ha logrado mantenerse indetectable durante más de tres años. Los investigadores de Kaspersky sospechan que los ciberdelincuentes están utilizando una vulnerabilidad de día cero o tienen acceso físico a los dispositivos para infectarlos con este malware. Una vez infectado, el malware obtiene privilegios de root, permitiéndole tomar capturas de pantalla, robar archivos y recopilar registros de llamadas.
"LianSpy utiliza un binario 'su' con un nombre modificado para obtener acceso de root. Las muestras de malware que analizamos intentan encontrar un binario 'mu' en los directorios 'su' predeterminados", señala el informe de Kaspersky.
"Esto sugiere un intento de eludir la detección de root en el dispositivo de la víctima. Obtener derechos de superusuario mediante un binario 'su' modificado indica que el software espía probablemente se distribuyó a través de un exploit desconocido o mediante acceso físico al dispositivo".
Entre sus diversas técnicas de evasión, LianSpy puede eludir la función de seguridad 'Indicadores de privacidad' en Android 12 y versiones posteriores. Esta función muestra un indicador en la barra de estado cuando una aplicación graba la pantalla o activa la cámara o el micrófono.
LianSpy evita esta función agregando un valor 'cast' al parámetro de configuración de la lista de bloqueo de íconos de Android, bloqueando las notificaciones de casting y manteniendo a la víctima sin conocimiento de que su pantalla está siendo grabada.
Conoce más sobre: BingoMod: Nuevo Malware en Android Roba Dinero y Borra Datos
Según los investigadores de Kaspersky, LianSpy se instala en el dispositivo haciéndose pasar por un servicio del sistema Android o una aplicación conocida como Alipay. Este disfraz le permite evitar sospechas iniciales. Una vez instalado, el malware solicita o se auto-otorga una serie de permisos críticos, incluyendo superposición de pantalla, notificaciones, acceso a contactos, registros de llamadas y permisos de actividad en segundo plano, especialmente si se ejecuta como una aplicación del sistema.
Uno de los aspectos más destacables de LianSpy es su capacidad para evadir la detección. Antes de iniciar sus actividades maliciosas, verifica que no se esté ejecutando en un entorno de análisis, asegurándose de que no haya un depurador presente. Luego, carga su configuración desde un repositorio de Yandex Disk y almacena estos datos localmente en SharedPreferences, permitiendo que la configuración persista incluso después de reinicios del dispositivo.
LianSpy está diseñado para determinar objetivos específicos y realizar actividades maliciosas de manera periódica. Utiliza la API de proyección de medios para capturar pantallas de aplicaciones populares como WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat y Discord. Al hacer capturas de pantalla de estas aplicaciones de manera selectiva, minimiza el riesgo de ser detectado por el usuario.
Los datos robados por LianSpy se almacenan en formato cifrado AES dentro de una tabla SQL llamada 'Con001'. Este método de almacenamiento garantiza que los datos estén seguros y solo puedan ser accedidos por los ciberdelincuentes. Para acceder a estos datos, se requiere una clave RSA privada, lo que asegura que únicamente el actor de la amenaza pueda leer la información exfiltrada.
A diferencia de otros malwares que reciben comandos directos, LianSpy realiza comprobaciones de actualización cada 30 segundos. Durante estas comprobaciones, busca nuevas configuraciones almacenadas en subcadenas dentro de sus datos de configuración. Estas subcadenas dictan las actividades maliciosas que el malware debe realizar en el dispositivo infectado, permitiéndole adaptarse y continuar operando sin necesidad de intervención externa.
A continuación, te presentamos un listado de las subcadenas observadas por los investigadores de Kaspersky:
Otra característica que aumenta el sigilo de LianSpy es su utilización del 'NotificationListenerService'. Este servicio evita que aparezcan notificaciones con frases clave como "usando batería" o "ejecutándose en segundo plano".
El malware incluye frases codificadas en inglés y ruso, lo que sugiere sus objetivos demográficos. Sin embargo, según Kaspersky, la telemetría indica que los actores detrás de LianSpy están actualmente enfocados en objetivos rusos.
Te podrá interesar leer: Conoce a Mandrake: El Spyware para Android en Google Play Desde 2022
Para protegerse contra LianSpy, es fundamental seguir buenas prácticas de seguridad:
La operación LianSpy es un claro ejemplo de la complejidad y constancia de las amenazas cibernéticas actuales. Comprender el funcionamiento de este malware y tomar medidas preventivas es esencial para resguardar nuestros dispositivos y datos personales. Estar alerta y proactivo en cuanto a la seguridad digital es la mejor manera de defendernos contra este tipo de amenazas avanzadas.