Специалисты «Лаборатории Касперского» обнаружили троянскую программу LianSpy, которая используется для кибершпионажа за владельцами Android-устройств в России.
По данным экспертов, атака началась примерно с середины 2021 года, но ее выявление затруднено, так как злоумышленники тщательно маскируют следы своей деятельности, пишут «Ведомости». Шпионаж носит точечный, а не массовый характер.
С момента обнаружения LianSpy весной этого года было выявлено более 10 целей. Представитель «Лаборатории Касперского» не раскрывает личности жертв, отмечая, что эксперты работают с анонимизированными данными на основе срабатывания защитных сервисов компании.
Троян маскируется под системные и финансовые приложения, но не интересуется финансовой информацией пользователей. LianSpy способен собирать и передавать злоумышленникам контакты, данные журнала звонков, список установленных приложений с зараженного устройства. Кроме того, он может записывать экран смартфона при открытии определенных программ, преимущественно мессенджеров, и отключать иконку, показывающую, что в данный момент используются камера или микрофон.
Эксперты считают маловероятным, что за атакой стоит сам Google, так как у компании есть гораздо более эффективные способы слежения. Обычные разработчики ПО также вряд ли будут встраивать подобный вредонос, предпочитая рекламные программы или ПО, крадущее информацию об устройстве или активности пользователя в интернете, но не о его переписке.
Заражение могло происходить удаленно с использованием неустановленных уязвимостей или при получении физического доступа к телефону. Активация трояна не требует действий пользователя, иконка скрывается, и вредонос работает в фоновом режиме, получая полный контроль над устройством.
LianSpy отличается необычными для мобильных шпионов техниками, используя для передачи данных только публичные сервисы, что затрудняет атрибуцию кампании. Злоумышленники могут быть заинтересованы в получении конфиденциальной информации, чувствительной переписки, личных контактов. Зараженные устройства также могут использоваться в качестве ботнета для атак, распространения вредоносного ПО или получения доступа к аккаунтам.
Учитывая маскировку под системные и банковские приложения, количество жертв может быть значительным. Например, другой троян набрал почти 10 млн скачиваний, скрываясь в обычных программах. По мере развития атаки число потенциальных жертв может увеличиваться.