揭秘新型安卓间谍软件LianSpy的攻击手段

news2024/11/13 8:00:23

自2021年起,俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。

网络安全公司卡巴斯基在2024年3月发现了这款恶意软件,并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制(C2)通信,以避免设立专用基础设施并逃避检测。

安全研究员Dmitry Kalinin在周一发布的技术报告中表示:LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。

目前尚不清楚该间谍软件的传播方式,但卡巴斯基推测,它可能是通过未知的安全漏洞或是直接接触目标手机来部署的,这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。

LianSpy一旦被激活,会先检查自己是不是以系统应用身份在运行。如果是,它会利用管理员权限在后台操作。如果不是,它会请求一系列权限以访问联系人、通话记录、通知,甚至会在手机屏幕上绘制覆盖层。

它还会检查自己是否在调试环境中运行,以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标,并触发屏幕截图、导出数据和更新配置等活动,以指定需要捕获的信息类型。

某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据,并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。

Kalinin说:“为了更新间谍软件配置,LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式'^frame_.+.png$'匹配的文件,如果找到,文件将被下载到应用程序的内部数据目录中。”

并且,收集的数据以加密形式存储在SQL数据库中,指定记录类型和SHA-256哈希值,只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。

LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能,该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数,防止通知图标出现在状态栏。

它还利用NotificationListenerService隐藏后台服务的通知,处理并抑制状态栏通知。

LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为"mu"的su二进制文件来获取root权限,这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。

此外,LianSpy的C2通信是单向的,只接收命令,不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令,从硬编码的Pastebin URL更新Yandex Disk的凭据,不同恶意软件变种的 Pastebin URL 各不相同,使用这种合法服务增加了混淆层,追踪LianSpy变得更加困难。

LianSpy是不断增长的间谍软件工具列表中的最新成员,通常利用零日漏洞攻击目标移动设备(无论是 Android 还是 iOS)。Kalinin表示:“除了收集通话记录和应用列表等标准间谍行为外,它还利用root权限进行隐蔽的屏幕录制,避开安全检查,其依赖重命名的su二进制文件,暗示了初次入侵后的二次感染。”

参考来源:

https://thehackernews.com/2024/08/new-android-spyware-lianspy-evades.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1988456.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024高中生必备物品有哪些?快收下这份必备物品清单!

随着新学期的脚步临近,为确保学习和生活都能顺利进行,挑选一些实用且高效的好物是非常重要的。在如今的数字化时代下,即使是学生,仍需要一系列智能电子产品,这些产品不仅能够提升学习效率,也能让学生党们的…

声明式UI语法

一、ArkTS的基本组成 Entry // 装饰器 Component // 装饰器 struct Hello { // 自定义组件State myText: string World;build() { // UI描述Column() { // 系统组件Text(Hello ${this.myText}).fontSize(50)Divider()Button(Click me).onClick(() > { // 事件方法t…

一次性讲清AI外呼系统,再也不用人工打电话

相信大家都有了解现在接到的机器人电话越来越多,那么真正操作机器人代替人工打电话其实很简单,学会了自然是节省大量人工拨打电话的时间 为什么电销要用外呼系统|||在现代科技的迅猛发展中,AI机器人已逐渐在各行各业崭露头角,与传…

022_java.lang.ThreadLocal

ThreadLocal使用案例 在并发编程中有时候需要让线程互相协作,而协作可以使用共享数据的方式来实现。针对共享数据的操作就需要锁机制来控制并发行为。锁虽好,但是毕竟会在一定程度上让线程之间互相阻塞。前辈们认为在线程需要互相协作的前提下&#xff…

服务器测试之RAID知识梳理

最近开始整理RAID卡相关规格信息,所以再重新汇总整理一下RAID相关的知识点及细节,尽量写的详细简单使用图示让大家更好理解 1.什么是Raid? RAID 是英文 Redundant Array of Independent Disks 的缩写,中文简称为独立磁盘冗余阵列…

Nuxt3所有页面使用服务端渲染需要注意些什么?

其实服务端渲染很多时候并不是所有页面都需要使用的,但是如果有些项目真的需要所有页面都使用服务端渲染,此时服务器压力很大,那要如何处理更好呢? 一、是否所有页面都需要使用服务端渲染呢? 大家可参考以下这篇文…

【深度学习】基于YOLOV5模型的图像识别-目标检测的性能指标详解与计算方法

目标检测是计算机视觉中的重要任务,主要目的是在图像中识别并定位特定的物体。YOLO(You Only Look Once)系列模型作为目标检测领域的代表性方法之一,凭借其高效和准确的特点,广泛应用于实际场景中。本文通过详细介绍目…

三十一、【人工智能】【机器学习】- 自编码器 (Autoencoders)

系列文章目录 第一章 【机器学习】初识机器学习 第二章 【机器学习】【监督学习】- 逻辑回归算法 (Logistic Regression) 第三章 【机器学习】【监督学习】- 支持向量机 (SVM) 第四章【机器学习】【监督学习】- K-近邻算法 (K-NN) 第五章【机器学习】【监督学习】- 决策树…

趣测系统源码获取,搭建系统详细教程,流量主+佣金+图文+挂载

一、趣测系统是什么? 趣测系统是一款集合了多种趣味测试的应用软件或小程序,以其独特的玩法和广泛的测试种类,为用户提供了全新的娱乐体验。该系统涵盖了心理测试、星座测试、性格测试、能力测试(如IQ、EQ)、情感测试…

数据结构(5.5_1)——哈夫曼树

带权路径长度: 结点的权 有某种现实含义的数值(如表示结点的重要性等) 结点的带权路径长度 从树的根到该结点的路径长度(经过的边数)与该结点上权值的乘积 树的带权路径长度 树中所有的叶结点的带权路径长度之和(WPL,Weighted Path Length) 哈夫曼树的定义&…

PyTorch深度学习实践——卷积神经网络

卷积神经网络 说明 卷积神经网络就是特征提取器,前一部分叫Feature Extraction,后一部分叫classification。卷积神经网络的过程是:卷积(线性变换,提取出重要的特征)、激活函数(非线性变换&…

【C++】:智能指针 -- RAII思想shared_ptr剖析

目录 一,内存泄漏二,智能指针的使用及原理2.1 RAII思想2.2 auto_ptr2.3 unique_ptr 三,shared_ptr(重点)3.1 shared_ptr的原理及使用3.2 shared_ptr的模拟实现1. 基本框架2. 引用计数的设计3. 拷贝构造4. 析构函数5. 赋值拷贝 3.3 shared_ptr…

Vue 3+Vite+Eectron从入门到实战系列之(三)一Electron热身运动(一)

前面我们已经把基础环境配置好了,在开始我们编写第一个页面之前,先尝试几个小的实验,体验下 electron 的乐趣。 更改我们应用的名称 系统默认的名字是从 package.json 中读取的,我们可以在这里更改。 {"name": "electron-vue3" }更改后,我们重新启动…

解决pycharm日志总是弹出“无法运行Git,未安装Git”的问题

需求分析 我电脑中安装了git,但是打开pycharm,右下角总是弹出 无法运行Git,未安装Git的日志。 解决方法 首先打开pycharm,按照以下路径,依次点击。 file -----settings-----version control -----Git----Git path(选择自己下载…

【Matplotlib】在 ax(Axes 对象)上使用 seaborn(简称 sns)绘图

在 ax(Axes 对象)上使用 seaborn(简称 sns)绘图时,你可以通过将 ax 作为参数传递给 seaborn 的绘图函数。这允许你将 seaborn 的图形绘制在指定的 ax 对象上,从而将多个图形组合在一个图形布局中。 示例代…

超高速直线模组究竟有多快?飞创直线模组最快速度是多少?

超高速直线模组的速度范围从每秒几毫米到每秒几十米,影响速度的因素包括电磁设计、冷却和机械结构等。超高速直线模组的速度也会因品牌、型号以及具体应用场景等因素而有所不同。 飞创直线模组的速度较快,最大速度可达10m/s,不同规格的直线模…

什么是护网?2024护网行动怎么参加?一文详解_护网具体是做啥的

前言 最近的全国护网可谓是正在火热的进行中,有很多网安小白以及准大一网安的同学在后台问我,到底什么是护网啊?怎么参加呢?有没有相关的学习资料呢?在下不才,连夜整理出来了这篇护网详解文章,希…

JavaWeb系列十一: Web 开发会话技术Cookie

会话技术-Cookie 基本介绍会话的两种技术cookie有什么用?cookie介绍二说cookiecookie可以用来干啥cookie常用方法cookie底层实现机制-创建和读取cookie应用实例-读取指定cookie和修改cookiecookie生命周期介绍应用实例 cookie有效路径有效路径规则应用实例作业布置cookie注意事…

日本求职面试时的注意事项、面试职场礼仪!

毋庸置疑的第一点就是—简历! 接到面试通知,就应该已经通过简历筛选的环节了。但也有些公司会要求面试时带上“履历书”和“职务经历书”。这时候也要好好查看简历上的日期、住址、电话等信息有没有误;以往职业经历有没有写清晰;…