Главная страница » IOC
0
7 месяцев
IOC

LianSpy Spyware IOCs

Spyware

В марте 2024 года Kaspersky Lab была обнаружена кампания, направленная на пользователей в России, с использованием шпионского ПО для Android, названного LianSpy.

LianSpy Spyware

Программа была активна с июля 2021 года и способна перехватывать видеозаписи экрана, собирать файлы пользователя, журналы вызовов и списки приложений. Вредоносный агент, ответственный за LianSpy, использует различные тактики уклонения и российский облачный сервис Yandex Disk для коммуникаций. Кроме того, они избегают использования выделенной инфраструктуры и используют другие методы, чтобы не быть обнаруженными. Предполагается, что LianSpy распространяется через неизвестную уязвимость или при прямом физическом доступе к целевому телефону.

Программа LianSpy определяет, запущена ли она как системное приложение, и запрашивает необходимые разрешения. Если она не запущена как системное приложение, она запрашивает дополнительные разрешения для своей работы. После получения разрешений она проверяет, не запущена ли она в отладочной среде. Затем она сохраняет свою конфигурацию и данные в файл SharedPreferences, обычно используемый для хранения настроек приложения. Конфигурация сохраняется даже после перезагрузки устройства. LianSpy скрывает свой значок и регистрирует вредоносный широковещательный приемник для получения намерений от системы.

Для обновления конфигурации LianSpy программа каждые 30 секунд ищет файл на Yandex Disk, соответствующий определенному регулярному выражению. Загруженный файл расшифровывается с помощью ключа AES, а затем программа обновления конфигурации изменяет конфигурацию LianSpy в соответствии с подходящими подстроками в файле.

Собранные данные пользователей сохраняются в зашифрованной форме в SQL-таблице с указанием типа записи и ее хэша SHA-256.

В целом, LianSpy является шпионским программным обеспечением для Android, которое активно используется для сбора данных о пользователях в России. Оно использует различные методы для уклонения от обнаружения и обновляется через Yandex Disk. Собранные данные хранятся в зашифрованной форме для безопасности.

Indicators of Compromise

URLs

  • https://pastebin.com:443/raw/0t2c1Djz
  • https://pastebin.com:443/raw/2PmX7Bgd
  • https://pastebin.com:443/raw/417svXuD
  • https://pastebin.com:443/raw/459bbu4H
  • https://pastebin.com:443/raw/47uLyg6q
  • https://pastebin.com:443/raw/7kxADNLm
  • https://pastebin.com:443/raw/81GhQUjK
  • https://pastebin.com:443/raw/85DMiWdE
  • https://pastebin.com:443/raw/8YXyQtp9
  • https://pastebin.com:443/raw/9eQJ8uUd
  • https://pastebin.com:443/raw/AgBMX16r
  • https://pastebin.com:443/raw/cbLWwCbR
  • https://pastebin.com:443/raw/dXXcZDF7
  • https://pastebin.com:443/raw/e0SqYu41
  • https://pastebin.com:443/raw/fxqART5r
  • https://pastebin.com:443/raw/hiAYisG8
  • https://pastebin.com:443/raw/hm78BGe9
  • https://pastebin.com:443/raw/KRqNqNrT
  • https://pastebin.com:443/raw/nSZaB3hw
  • https://pastebin.com:443/raw/R509SydV
  • https://pastebin.com:443/raw/rzMhGiFp
  • https://pastebin.com:443/raw/tUQFWtVY
  • https://pastebin.com:443/raw/uc5Ft4z6
  • https://pastebin.com:443/raw/w4j6jNBV
  • https://pastebin.com:443/raw/Wppem8U5
  • https://pastebin.com:443/raw/wSzsbXpg
  • https://pastebin.com:443/raw/X4CuaV5L
  • https://pastebin.com:443/raw/ZBFe2b4z
  • https://pastebin.com:443/raw/zsY6tZLb
  • https://pastebin.com:443/raw/zy8BKYyg

MD5

  • 084206ec8e6e5684a5acdcbd264d1a41
  • 09088db5640381951e1b4449e930ff11
  • 15222c61978f9133aa34b5972ce84e7e
  • 1ccf5b723c38e30107d55040f10ce32a
  • 22b013cfb95df6b4ba0d2d40dc4bddf4
  • 23b9e5d4ab90506c6e9a42fa47164b84
  • 36bc97ce040ada7142e4add4eb8cd3dd
  • 38149658e5aba1942a6147b387f79d3f
  • 3a4f780820043a8f855979d2c59f36f2
  • 4c3e81bb8e972eef3c9511782f47bdea
  • 5b16eb23a2f5a41063f3f09bc4ca47dd
  • 69581e8113eaed791c2b90f13be0981a
  • 707a593863d5ba9b2d87f0c8a6083f70
  • 7de18a7dac0725d74c215330b8febd4e
  • 842d600d5e5adb6ca425387f1616d6c4
  • 86ea1be200219aca0dc985113747d5ea
  • 86f7c39313500abfb12771e0a4f6d47a
  • 8f47283f19514178ceb39e592324695a
  • 966824d8c24f6f9d0f63b8db41f723b6
  • 99d980a71a58c8ad631d0b229602bbe2
  • 9f22d6bffda3e6def82bf08d0a03b880
  • a7142ad1b70581c8b232dc6cf934bda4
  • c449003de06ba5f092ee9a74a3c67e26
  • d46c5d134a4f9d3cd77b076eb8af28b3
  • d9e9655013d79c692269aeadcef35e68
  • da97092289b2a692789f7e322d7d5112
  • ec74283d40fd69c8efea8570aadd56dc
  • f13419565896c00f5e632346e5782be4
  • f37213a7ef3dc51683eec6c9a89e45af
  • f78eaca29e7e5b035dbcbabac29eb18d
  • fa3fecca077f0797e9223676d8a48391
  • fbc2c4226744c363e62fcfeaec1a47f1
Комментарии: 0
Похожие записи
0
2 дня
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
6 дней
IOC

Трояны, замаскированные под ИИ: киберпреступники используют популярность DeepSeek

security
DeepSeek-R1 - мощная открытая модель большого языка (LLM) - завоевала популярность в качестве сервиса чат-ботов и стала мишенью для киберпреступников. Обнаружено несколько поддельных сайтов, имитирующих