LianSpy: phần mềm gián điệp di động mới dành cho Android

LianSpy: phần mềm gián điệp di động mới dành cho Android

Phần mềm gián điệp là một công cụ nguy hiểm có thể được sử dụng để theo dõi có chọn lọc các nạn nhân cụ thể. Phần mềm gián điệp di động mới, mà chúng tôi phát hiện và đặt tên là LianSpy, hiện nhắm mục tiêu vào người dùng điện thoại thông minh Android ở Nga, nhưng các phương pháp tiếp cận không theo quy ước mà nó sử dụng có khả năng được áp dụng ở các khu vực khác.

LianSpy: phần mềm gián điệp di động mới dành cho Android

LianSpy là gì?

Các chuyên gia bảo mật của Kaspersky đã phát hiện ra LianSpy vào tháng 3 năm 2024. Tuy nhiên, dữ liệu của chúng tôi cho thấy nó đã hoạt động trong ít nhất ba năm — tính từ tháng 7 năm 2021! Làm thế nào mà LianSpy lại ẩn mình trong bóng tối lâu như vậy? Những kẻ tấn công tỉ mỉ che giấu dấu vết của chúng. Khi khởi chạy, phần mềm độc hại ẩn biểu tượng của nó trên màn hình chính và hoạt động ở chế độ nền bằng cách sử dụng các đặc quyền gốc. Điều này cho phép nó bỏ qua các thông báo trên thanh trạng thái của Android, thông báo này thường sẽ cảnh báo nạn nhân rằng điện thoại thông minh đang tích cực sử dụng camera hoặc micrô.

LianSpy ngụy trang thành các ứng dụng hệ thống và dịch vụ tài chính. Điều thú vị là những kẻ tấn công không quan tâm đến dữ liệu ngân hàng của nạn nhân. Phần mềm gián điệp này âm thầm và kín đáo theo dõi hoạt động của người dùng bằng cách chặn nhật ký cuộc gọi, gửi danh sách các ứng dụng đã cài đặt đến máy chủ của kẻ tấn công và ghi lại màn hình điện thoại thông minh — chủ yếu trong quá trình nhắn tin.

LianSpy hoạt động như thế nào?

Không giống như các phần mềm gián điệp khác khai thác lỗ hổng zero-click, LianSpy yêu cầu một số hành động từ phía nạn nhân. Khi khởi chạy, phần mềm độc hại sẽ kiểm tra xem nó có đủ quyền cần thiết để đọc danh bạ và nhật ký cuộc gọi hay không và sử dụng lớp phủ. Nếu không, nó sẽ yêu cầu chúng. Sau khi hoàn tất, nó sẽ đăng ký một Android Broadcast Receiver để lấy thông tin về các sự kiện hệ thống, cho phép nó bắt đầu hoặc dừng nhiều tác vụ độc hại khác nhau.

LianSpy sử dụng các đặc quyền root theo cách khá phi truyền thống. Thông thường, chúng được sử dụng để giành quyền kiểm soát hoàn toàn thiết bị. Tuy nhiên, trong trường hợp của LianSpy, những kẻ tấn công chỉ sử dụng một phần nhỏ chức năng có sẵn cho người dùng siêu cấp. Điều thú vị là các đặc quyền root được sử dụng để ngăn các giải pháp bảo mật phát hiện ra chúng.

LianSpy là Trojan sau khai thác, nghĩa là kẻ tấn công khai thác lỗ hổng để root thiết bị Android hoặc sửa đổi chương trình cơ sở bằng cách truy cập vật lý vào thiết bị của nạn nhân. Vẫn chưa rõ kẻ tấn công có thể đã khai thác lỗ hổng nào trong trường hợp trước.

Một tính năng khác của LianSpy là sử dụng kết hợp mã hóa đối xứng (một khóa để mã hóa và giải mã thông tin) và mã hóa bất đối xứng (khóa công khai và riêng tư riêng biệt). Trước khi bị đánh cắp, dữ liệu được mã hóa bằng thuật toán đối xứng, khóa được mã hóa bất đối xứng. Chỉ kẻ tấn công mới sở hữu khóa riêng. Để biết thêm chi tiết về chức năng của LianSpy, hãy xem bài đăng Securelist của chúng tôi.

Ai đứng sau LianSpy?

Kẻ tấn công chỉ sử dụng các dịch vụ công cộng, không phải cơ sở hạ tầng tư nhân, điều này khiến việc xác định chính xác nhóm tin tặc nào đứng sau các cuộc tấn công này vào người dùng điện thoại thông minh Android ở Nga trở nên khó khăn. Danh tính của người trả tiền cũng không được biết, nhưng như thông lệ toàn cầu cho thấy, các chiến dịch gián điệp mạng tinh vi như vậy thường do các nhóm có liên kết với một tác nhân quốc gia khởi xướng.

Làm thế nào để bảo vệ chống lại giám sát phần mềm gián điệp?

  • Chỉ tải xuống ứng dụng từ các cửa hàng và danh mục chính thức, nhưng hãy nhớ rằng phần mềm gián điệp có thể xâm nhập ngay cả những ứng dụng đó.
  • Cập nhật hệ điều hành thường xuyên — không phải tất cả phần mềm độc hại đều có thể thích ứng với các tính năng bảo mật mới.
  • Sử dụng các ứng dụng nổi tiếng từ các nhà phát triển đáng tin cậy. Tránh các ứng dụng thay thế cho trình nhắn tin tức thời và các dịch vụ khác vì chúng có thể chứa mã độc hại (đọc thêm về bản mod phần mềm gián điệp cho WhatsApp, Telegram và Signal).
  • Sử dụng Kaspersky cho Android để phát hiện phần mềm gián điệp như LianSpy kịp thời.
  • Nếu bạn vẫn không có biện pháp bảo vệ đáng tin cậy, hãy sử dụng TinyCheck, một công cụ phát hiện phần mềm gián điệp.
  • Chỉ cấp cho các ứng dụng các quyền mà chúng cần để hoạt động.

Hương – Theo Kaspersky Blog

Tin liên quan:

Standard Post with Image

Hướng dẫn cài đặt Kaspersky Safe Kids For Android với Kaspersky-Safe-Kids.Apk

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết
Standard Post with Image

Hướng dẫn cài đặt Kaspersky For Android với Kaspersky.Apk

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết
Standard Post with Image

Tại sao không tìm thấy các sản phẩm của Kaspersky trên Google Play?

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết