Malware Android yang sebelumnya tidak terdokumentasikan bernama ‘LightSpy’ telah ditemukan menargetkan pengguna Rusia, yang menyamar di ponsel sebagai aplikasi Alipay atau layanan sistem untuk menghindari deteksi.
Analisis menunjukkan bahwa LianSpy telah aktif menargetkan pengguna Android sejak Juli 2021, tetapi kemampuan silumannya yang luas membantunya tetap tidak terdeteksi selama lebih dari tiga tahun.
Peneliti Kaspersky meyakini bahwa pelaku ancaman menggunakan kerentanan zero-day atau memiliki akses fisik untuk menginfeksi perangkat dengan malware. Malware memperoleh hak akses root pada perangkat untuk mengambil tangkapan layar, mencuri file, dan mengumpulkan log panggilan.
“LianSpy menggunakan biner su dengan nama yang dimodifikasi untuk mendapatkan akses root. Sampel malware yang kami analisis mencoba menemukan biner mu di direktori su default,” jelasnya. Laporan Kaspersky.
“Hal ini menunjukkan adanya upaya untuk menghindari deteksi root pada perangkat korban. Memperoleh hak pengguna super dengan ketergantungan yang kuat pada biner yang dimodifikasi menunjukkan bahwa spyware tersebut kemungkinan besar dikirimkan melalui eksploitasi yang sebelumnya tidak diketahui atau akses perangkat fisik.”
Daftar panjang fitur penghindarannya termasuk melewati ‘Indikator Privasi fitur keamanan di Android 12 dan yang lebih baru, yang menampilkan indikator pada bilah status saat aplikasi merekam layar atau mengaktifkan kamera atau mikrofon.
Sumber: Google
LianSpy melewati fitur ini dengan menambahkan nilai ‘cast’ ke parameter pengaturan daftar blokir ikon Android sehingga notifikasi cast diblokir, membuat korban tidak menyadari bahwa layarnya sedang direkam.
Operasi LianSpy
Malware LianSpy mencakup serangkaian fitur dan mekanisme penghindaran yang canggih untuk bersembunyi di perangkat tanpa terdeteksi.
Kaspersky mengatakan bahwa ketika malware diinstal, malware tersebut akan diposting sebagai layanan sistem Android atau aplikasi Alipay.
Setelah diluncurkan, LianSpy meminta hamparan layar, pemberitahuan, kontak, log panggilan, dan izin aktivitas latar belakang atau memberikannya sendiri secara otomatis jika dijalankan sebagai aplikasi sistem.
Berikutnya, ia memastikan ia tidak berjalan pada lingkungan analis (tidak ada debugger) dan memuat konfigurasinya dari repositori Yandex Disk.
Konfigurasi tersebut disimpan secara lokal di SharedPreferences, yang memungkinkannya tetap ada di antara saat perangkat di-boot ulang.
Menentukan data mana yang akan ditargetkan, interval waktu pengambilan tangkapan layar dan pencurian data, serta aplikasi mana yang memicu pengambilan layar untuk menggunakan API proyeksi media.
WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat, dan Discord termasuk di antara banyak yang didukung untuk pengambilan layar selektif, yang meminimalkan risiko deteksi.
Data yang dicuri disimpan dalam bentuk terenkripsi AES dalam tabel SQL (‘Con001’) sebelum diekstraksi ke Yandex Disk, memerlukan kunci RSA pribadi untuk membacanya, yang memastikan hanya pelaku ancaman yang memiliki akses.
Malware tersebut tidak menerima perintah atau pembaruan konfigurasi, tetapi melakukan pemeriksaan pembaruan secara berkala (setiap 30 detik) untuk mendapatkan pengaturan konfigurasi baru. Pengaturan ini disimpan sebagai substring dalam data konfigurasi, yang memberi tahu malware aktivitas berbahaya apa yang harus dilakukan pada perangkat yang terinfeksi.
Daftar substring yang dilihat oleh Kaspersky tercantum di bawah ini:
| Substring (nama perintah) | Keterangan |
| *kon+ | Aktifkan pengumpulan daftar kontak |
| *menipu- | Nonaktifkan pengumpulan daftar kontak |
| *clg+ | Aktifkan pengumpulan log panggilan |
| *clg- | Nonaktifkan pengumpulan log panggilan |
| *aplikasi+ | Aktifkan pengumpulan daftar aplikasi yang terinstal |
| *aplikasi- | Nonaktifkan pengumpulan daftar aplikasi yang terinstal |
| *rsr+ | Jadwalkan pengambilan tangkapan layar |
| *rsr- | Berhenti mengambil tangkapan layar |
| *nomor+ | Aktifkan perekaman layar |
| *nrs- | Nonaktifkan perekaman layar |
| *berenang | Tetapkan daftar aplikasi baru, disimpan tepat setelah string perintah, untuk perekaman layar |
| *istri+ | Izinkan untuk berjalan jika perangkat terhubung ke Wi-Fi |
| *istri- | Melarang untuk berjalan jika perangkat hanya terhubung ke Wi-Fi |
| *gerombolan+ | Izinkan untuk berjalan jika perangkat terhubung ke jaringan seluler |
| *massa- | Melarang untuk dijalankan jika perangkat hanya terhubung ke jaringan seluler |
| *ilmu pengetahuan | Mengatur interval tangkapan layar dalam milidetik |
| *sbi | Tetapkan interval antara tugas eksfiltrasi data dalam milidetik |
Satu lagi fitur penguat siluman dalam daftar panjang LianSpy adalah penggunaan ‘NotificationListenerService’ untuk menekan notifikasi dengan frasa kunci seperti “menggunakan baterai” atau “berjalan di latar belakang” agar tidak muncul.
Frasa yang dikodekan secara keras disertakan untuk bahasa Inggris dan Rusia, yang menunjukkan demografi target.
Namun, Kaspersky mengatakan data telemetrinya menunjukkan bahwa aktor ancaman di balik LianSpy saat ini berfokus pada target Rusia.
