«Лаборатория Касперского» выявила троян, нацеленный на пользователей Android-смартфонов в России. Атаки начались ещё в 2021 году, но их обнаружение было затруднено из-за эксплуатации root-прав.
Что известно о шпионе
Троян, получивший название LianSpy, собирает список контактов с заражённых аппаратов, данные журнала звонков и перечень установленных приложений. Ещё инструмент умеет записывать экран смартфона при открытии определённых утилит. Эта информация передаётся атакующим на внешний сервер.
Изначально LianSpy маскируется под финансовый сервис или системную службу. Но после установки программа скрывает свою иконку и начинает активно использовать права суперпользователя (root). В том числе, чтобы скрыть системный индикатор работы микрофона и камеры. К тому же троян автоматически скрывает уведомления о своей работе в фоновом режиме.
Согласно выводам «Лаборатории», злоумышленники либо использовали уязвимости для рутирования устройств, либо модифицировали прошивку, получив физический доступ к устройствам жертв. То есть речь про узконаправленную атаку конкретных людей.
Перед отправкой на сервер данные защищаются криптографией. Интересно, что мошенники эксплуатируют публичное облако «Яндекс Диск» — так сложнее определить, кто именно стоит за атакой.
Специалисты «Лаборатории Касперского» обнаружили зловреда в марте 2024 года. Однако есть информация, что он применялся как минимум с июля 2021-го.
Как защититься?
В «Лаборатории Касперского» дают стандартные рекомендации:
- Загружайте приложения только из официальных источников.
- Не используйте модификации программ, например, хаки или моды для мессенджеров и соцсетей.
- Выдавайте приложениям только те разрешения, которые необходимы для работы.
- Регулярно обновляйте программное обеспечение смартфона.
- Используйте антивирусное ПО, например Kaspersky for Android.
Похожая атака была и на iOS
В 2023 году «Лаборатория Касперского» обнаружила шпионское ПО для iPhone, ориентированное на собственных сотрудников. Эксплойт распространялся через сообщение в iMessage и в случае успеха получал полный контроль над устройством и пользовательскими данными.
Российские спецслужбы отчитались, что этот зловред поразил несколько тысяч устройств. В числе жертв — дипломатические представительства и посольства Израиля, КНР и стран блока НАТО, расположенные в РФ.
Apple устранила уязвимость, которая использовалась для атаки, в июле 2023 года.
