Специалисты «Лаборатории Касперского» обнаружили троян, который используют для кибершпионажа, нацеленного на владельцев Android‑устройств в России. Ему присвоили название LianSpy. По данным «Лаборатории Касперского», шпионаж мог начаться с середины 2021 года, но обнаружение вредоноса было затруднено, так как атакующие активно скрывают следы. Шпионаж носил не массовый, а точечный характер, следует из объяснения представителя компании.
С момента обнаружения LianSpy с весны 2024 года специалисты «Лаборатории Касперского» выявили более 10 целей. Кто именно стал жертвами, представитель компании не уточнил, отметив, что эксперты оперируют анонимизированными данными на основе срабатывания сервиса компании.
«LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересует финансовая информация жертв. Функционал зловреда включает сбор и передачу атакующим списка контактов с заражённого девайса, а также данных журнала звонков, списка установленных приложений», — говорит эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Калинин.
Троян способен записывать экран смартфона при открытии определенных приложений, преимущественно мессенджеров, продолжает он. Кроме того, LianSpy может обходить уведомления от Android, показывающие, что в данный момент на телефоне используется камера или микрофон, отключая появляющуюся во время записи экрана иконку, уточняет Калинин.
Маловероятно, что за шпионажем стоит сам производитель операционной системы Android Google, так как у него есть гораздо больше способов следить за пользователями, чем с помощью навесных вредоносных программ, отмечает консультант по безопасности Positive Technologies Алексей Лукацкий. Обычные разработчики ПО тоже вряд ли будут такое делать, продолжил он. По мнению Лукацкого, если они и встраивают вредоносный функционал, то обычно это рекламный софт либо ПО, крадущее информацию о самом устройстве или активности пользователя в интернете, но не о его переписке.
Заражение устройств могло происходить удалённо с эксплуатацией нескольких неустановленных уязвимостей или же при получении физического доступа к телефону, объясняет Калинин. Но достоверно сказать, какой именно вектор атаки из этих двух использовался, невозможно, так как в распоряжении экспертов «Лаборатории» для анализа была только сама вредоносная программа, пояснил он.
Активация трояна не требует от пользователя каких‑либо действий, уточнил представитель «Лаборатории». При запуске софт «прячет» свою иконку и работает в фоновом режиме, поэтому пользователь не знает о проблеме. При этом активированный троян получает полный контроль над устройством.
Троян отличается необычными для мобильного шпиона техниками, добавил Калинин: для передачи информации с заражённых устройств злоумышленники используют только публичные сервисы, что дополнительно затрудняет процесс атрибуции кампании какой‑либо группе атакующих.
В данном случае злоумышленники могут быть заинтересованы в получении конфиденциальных данных, чувствительной переписки, личных контактов или другой личной информации, считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Заражённые устройства также могут использовать в качестве ботнет‑сети для совершения хакерских или информационных атак, распространения вредоносного программного обеспечения (ПО) или получения доступа к личным аккаунтам, предполагает он.
