Шпионское ПО — опасный инструмент, позволяющий избирательно следить за конкретными пользователями: зачастую жертвами становятся сотрудники одной компании или жители одной страны. Обнаруженный нами новый мобильный шпион LianSpy — пока — нацелен на пользователей Android-смартфонов из России, но используемые им нестандартные подходы потенциально могут быть применены и в других регионах. Как именно работает этот мобильный шпион и как защититься от новой угрозы — в этом материале.
Оглавление
Что такое LianSpy
Мы обнаружили LianSpy в марте 2024 года, но действует он, по нашим данным, как минимум три года — с июля 2021-го! Почему LianSpy так долго оставался в тени? Дело в том, что атакующие тщательно прячут следы работы вредоносного ПО: при запуске программа прячет свою иконку на рабочем столе и работает в фоновом режиме, используя права суперпользователя. Это позволяет зловреду обходить уведомления Android в статус-баре, которые показывают жертве, что в текущий момент смартфон использует камеру или микрофон.
LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересуют банковские данные жертв: шпионское ПО тихо и незаметно следит за активностью пользователей, перехватывая данные журнала звонков, отправляя список установленных приложений на сервер атакующих, а также записывает экран смартфона, в основном — при работе с мессенджерами.
Как работает LianSpy
В отличие от других представителей шпионского ПО, эксплуатирующих zero-click-уязвимости, LianSpy все же требует от жертвы некоторых действий. В начале работы вредонос проверяет, есть ли у него требуемые разрешения на чтение контактов, журнала вызовов и работу с оверлеем; если нет — запрашивает их. После этого программа регистрирует широковещательный приемник Android Broadcast Receiver для получения информации о событиях в системе, отвечающий за запуск или остановку различных вредоносных задач.
LianSpy довольно-таки нестандартно использует права суперпользователя. Обычно root-права используются для получения полного контроля над устройством, но в случае LianSpy атакующие используют лишь малую часть доступного суперпользователю функционала. Любопытно, что root-права используются таким образом, чтобы не допустить их выявления защитными решениями.
LianSpy — постэксплуатационный троян: злоумышленники либо задействовали уязвимости для рутования Android-устройств, либо использовали физический доступ к устройствам жертв для модификации прошивки. Какую именно уязвимость могли задействовать атакующие в первом случае, пока неизвестно.
Еще одна особенность LianSpy — использование комбинации симметричного (один и тот же ключ используется для кодирования и восстановления информации) и асимметричного (применяются открытый и закрытый ключи) шифрования. Перед кражей данные шифруются симметричным алгоритмом, ключ для которого зашифрован асимметричным, при этом закрытым ключом владеет только атакующий. Другие особенности работы LianSpy — в публикации Securelist.
Кто стоит за LianSpy?
Поверьте, этот вопрос интересует и нас. Атакующие используют только публичные сервисы, а не приватную инфраструктуру, поэтому однозначно определить, какая хакерская группировка стоит за атаками на пользователей Android-смартфонов в России, — сложно. Тем более не ясен и конечный заказчик, но, как показывает мировая практика, зачастую такие сложные кампании по кибершпионажу инициированы группировками, аффилированными с тем или иным государством.
Как защититься от слежки со стороны шпионских программ?
Загружайте приложения только из официальных магазинов и каталогов, но помните, что шпионское ПО может затесаться и туда.
Регулярно обновляйте операционную систему — далеко не все вредоносные программы способны адаптироваться к новым функциям безопасности.
Пользуйтесь проверенными приложениями от известных разработчиков — альтернативные клиенты мессенджеров и иных сервисов могут содержать вредоносный код (читайте подробнее про шпионские моды для WhatsApp, Telegram и Signal).
Используйте «Kaspersky: антивирус и защита», чтобы своевременно обнаруживать шпионские программы типа LianSpy.
Если у вас до сих пор нет надежной защиты, то воспользуйтесь TinyCheck — системой обнаружения шпионских приложений.
Давайте приложениям только те разрешения, которые необходимы им для работы.
Блог Касперского