Специалисты «Лаборатории Касперского» обнаружили на российских Android-устройствах троян, который используют для кибершпионажа, — его окрестили LianSpy. По данным компании, за пользователями шпионили с середины 2021 года. Однако обнаружить троян в тот период было трудно, так как злоумышленники активно заметали следы.
Что такое LianSpy
Специалисты компании обнаружили LianSpy весной 2024 года, с тех пор троян поразил более 10 целей. Имена жертв представитель «Лаборатории» не стал называть, сославшись на то, что эксперты оперируют обезличенными данными на основе срабатывания сервиса компании.
«LianSpy маскируется под системные приложения и финансовые сервисы. При этом злоумышленников не интересует финансовая информация жертв. Функционал трояна включает сбор и передачу хакерам списка контактов с заражённого девайса, а также данных журнала звонков, списка установленных приложений».
Дмитрий Калинин,
эксперт «Лаборатории Касперского» по кибербезопасности
Троян, по словам эксперта, также может записывать экран смартфона при открытии определённых приложений — в основном это мессенджеры. Кроме того, LianSpy способен обходить уведомления от Android, показывающие использование камеры или микрофона на смартфоне, — троян отключает соответствующую иконку во время записи экрана.
Кто стоит за шпионажем
Эксперты по кибербезопасности отмечают маловероятность шпионажа со стороны компании Google, разработчика операционной системы Android. У неё есть гораздо больше способов следить за пользователями, поэтому нет необходимости запускать такого рода вредоносные программы. Исключают также и обычных разработчиков ПО — они, как правило, встраивают в виде вредоносного функционала рекламный софт или ПО, которое крадёт информацию о самом устройстве или активности пользователя в интернете.
Заражение устройств, по мнению экспертов, могло происходить удалённо — с использованием нескольких уязвимостей нулевого дня либо при получении физического доступа к телефону. Однако у специалистов «Лаборатории Касперского» нет уверенности в том, какой из двух вариантов атаки использовали злоумышленники.
Для активации трояна, по словам специалистов, не нужны никакие действия пользователя. При установке вредоносный софт прячет свою иконку и работает в фоновом режиме — жертва не догадается о его наличии на своем устройстве. Примечательно, что с помощью трояна злоумышленники получают информацию с зараженного девайса только через публичные сервисы — это затрудняет идентификацию атакующих.
Эксперты также предполагают, что хакеры используют LianSpy с целью получения конфиденциальных данных, переписок, контактов или другой личной информации своих жертв. Кроме того, злоумышленники могут использовать зараженные устройства в качестве ботнет‑сети для совершения хакерских или информационных атак, распространения вредоносного ПО или получения доступа к личным аккаунтам.
Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!