Троян, для слежки за владельцами Android-устройств
Специалисты «Касперского» обнаружили троян, который предположительно с середины 2021 г. обеспечивал слежку за владельцами Android-устройств в России. Вредонос, получивший название LianSpy, обнаружили только весной 2024 г., так как он тщательно скрывал свои следы.
Трудность его обнаружения была связана с тем, что атакующие активно скрывают свои следы. По данным экспертов, шпионаж носил точечный характер… Было выявлено более 10 его целей. Кто именно стал жертвами, представитель компании уточнить не смог. Эксперты оперируют анонимизированными данными на основе срабатывания сервиса компании.
LianSpy маскируется под системные приложения и финансовые сервисы, но финансовая информация жертв его не интересует. С зараженного устройства он собирает списки контактов и установленных приложений, данные журнала звонков.
По словам представителей «Лаборатории Касперского», кибершпионаж с использованием LianSpy мог начаться с середины 2021 года. С момента его выявления этой весной специалисты обнаружили более десяти целей. Личности жертв остаются неизвестными, так как эксперты работают с анонимизированными данными на основе срабатывания сервисов компании.
Троян LianSpy маскируется под системные приложения и финансовые сервисы, но его цель не связана с кражей финансовой информации. Зловред собирает и передает данные о контактах, журналы звонков и списки установленных приложений с зараженных устройств. Троян способен записывать экран смартфона при открытии определенных приложений, преимущественно мессенджеров. Кроме того, LianSpy может обходить уведомления от Android, показывающие, что в данный момент на телефоне используется камера или микрофон, отключая появляющуюся во время записи экрана иконку
Эксперты считают маловероятным участие Google в этой шпионской активности, так как у компании есть другие, более эффективные способы слежки. Обычные разработчики ПО тоже вряд ли будут этим заниматься, так как чаще всего встроенный вредоносный функционал связан с рекламным софтом или сбором информации о пользователе, но не о его переписке.
Заражение устройств могло происходить удаленно с эксплуатацией нескольких неустановленных уязвимостей или при физическом доступе к телефону. Однако точный вектор атаки (из этих двух) остается неизвестным, так как у специалистов для анализа была только сама вредоносная программа.
LianSpy не требует от пользователя никаких действий для активации. При запуске зловред «прячет» свою иконку и работает в фоновом режиме, поэтому пользователь не знает о проблеме. При этом активированный троян получает полный контроль над устройством. Троян LianSpy использует необычные для мобильного шпиона техники: для передачи информации с зараженных устройств злоумышленники применяют только публичные сервисы, что затрудняет атрибуцию атакующей группы.
По мнению экспертов, в данном случае злоумышленники могут быть заинтересованы в получении конфиденциальных данных, чувствительной переписки, личных контактов и другой информации.
Зараженные устройства могут быть использованы для создания ботнет-сети, которая применяется для хакерских и информационных атак, распространения вредоносного ПО или получения доступа к личным аккаунтам, поясняют эксперты. Если вредоносная программа собирает контакты и копирует экраны мессенджеров, то злоумышленников может интересовать круг общения жертвы и темы их разговоров. Таким образом, можно атаковать помощников высокопоставленных чиновников и руководителей.
Отмечается, что атака направлена на узкий круг лиц, на чьих смартфонах, скорее всего, нет средств мониторинга. При этом сама вредоносная программа не крадет деньги и не имеет явных проявлений, что делает её обнаружение сложным. Количество жертв может быть значительным, учитывая, что троян маскируется под популярные системные и банковские приложения.
0 комментариев