Специалисты «Лаборатории Касперского» обнаружили троян, который используется для кибершпионажа, нацеленного на владельцев Android-устройств в России. Ему присвоили название LianSpy. По данным «Лаборатории Касперского», шпионаж мог начаться с середины 2021 г., но обнаружение вредоноса было затруднено, так как атакующие активно скрывают следы. Шпионаж носил не массовый, а точечный характер, следует из объяснения представителя компании.
С момента обнаружения LianSpy с весны этого года специалисты «Лаборатории Касперского» выявили более 10 целей. Кто именно стал жертвами, представитель компании не уточнил, отметив, что эксперты оперируют анонимизированными данными на основе срабатывания сервиса компании.
«LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересует финансовая информация жертв. Функционал зловреда включает сбор и передачу атакующим списка контактов с зараженного девайса, а также данных журнала звонков, списка установленных приложений», – говорит эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Калинин. Троян способен записывать экран смартфона при открытии определенных приложений, преимущественно мессенджеров, продолжает он. Кроме того, LianSpy может обходить уведомления от Android, показывающие, что в данный момент на телефоне используется камера или микрофон, отключая появляющуюся во время записи экрана иконку, уточняет Калинин.
Маловероятно, что за шпионажем стоит сам производитель операционной системы Android Google, так как у него есть гораздо больше способов следить за пользователями, чем с помощью навесных вредоносных программ, отмечает консультант по безопасности Positive Technologies Алексей Лукацкий. Обычные разработчики ПО тоже вряд ли будут такое делать, продолжил он. По мнению Лукацкого, если они и встраивают вредоносный функционал, то обычно это рекламный софт либо ПО, крадущее информацию о самом устройстве или активности пользователя в интернете, но не о его переписке.
Заражение устройств могло происходить удаленно с эксплуатацией нескольких неустановленных уязвимостей или же при получении физического доступа к телефону, объясняет Калинин. Но достоверно сказать, какой именно вектор атаки из этих двух использовался, невозможно, так как в распоряжении экспертов «Лаборатории» для анализа была только сама вредоносная программа, пояснил он.
Активация трояна не требует от пользователя каких-либо действий, уточнил представитель «Лаборатории». При запуске зловред «прячет» свою иконку и работает в фоновом режиме, поэтому пользователь не знает о проблеме. При этом активированный троян получает полный контроль над устройством.
Червяк в «Яблоках»
В июне 2023 г. ФСБ совместно с ФСО сообщила о раскрытии разведывательной акции США с использованием вируса на мобильных устройствах Apple. Как сообщала ФСБ, заражению подверглось несколько тысяч смартфонов бренда. Помимо слежки за российскими пользователями спецслужба также обнаружила вирус на гаджетах зарубежных абонентов, использующих сим-карты, зарегистрированные на диппредставительства и посольства в России. Речь шла о заражении устройств сотрудников дипведомств стран НАТО и постсоветского пространства, а также Израиля, Сирии и КНР.
Комментируя эту информацию, пресс-секретарь президента РФ Дмитрий Песков сообщал, что сотрудникам администрации президента запрещено использовать в служебных целях смартфоны iPhone (запрет действует с марта). В начале июля «Ведомости» писали, что аналогичный запрет на использование iPhone в служебной коммуникации был введен в Минпромторге и подведомственных ему организациях, представитель ведомства эту информацию подтверждал. Позже о таких же ограничениях для сотрудников сообщил «Ростех». Аналогичные запреты стали появляться в Минцифры, Минздраве, Минтрансе и других ведомствах.
Троян отличается необычными для мобильного шпиона техниками, добавил Калинин: для передачи информации с зараженных устройств злоумышленники используют только публичные сервисы, что дополнительно затрудняет процесс атрибуции кампании какой-либо группе атакующих.
В данном случае злоумышленники могут быть заинтересованы в получении конфиденциальных данных, чувствительной переписки, личных контактов или другой личной информации, считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Зараженные устройства также могут быть использованы в качестве ботнет-сети для совершения хакерских или информационных атак, распространения вредоносного программного обеспечения (ПО) или получения доступа к личным аккаунтам, предполагает он.
Если речь идет о сборе контактов и копировании экранов мессенджеров, то злоумышленников могут интересовать круг лиц, с которыми общается жертва, и темы их общения, говорит Лукацкий. Например, таким образом можно атаковать персональных помощников высокопоставленных чиновников и руководителей, предполагает эксперт. «Атака направлена на очень узкий круг лиц, высока вероятность, что у них на смартфонах не установлены средства мониторинга, а сама вредоносная программа не крадет деньги и не имеет иных публичных проявлений, поэтому и обнаружить ее непросто», – поясняет Лукацкий. Любая целевая атака тем и отличается от других, что нацелена на небольшое число организаций или людей, а иногда вредоносное ПО может быть разработано под конкретную организацию и больше нигде не встречаться, отмечает он.
С учетом того что речь идет о системных и банковских приложениях, текущее количество жертв может быть довольно значительным, предполагает Бедеров. Например, троян Android.HiddenAds набрал в 2019 г. почти 10 млн скачиваний, отмечает он. Вирус скрывался в самых обычных программах: приложениях для фотосъемки, редакторах изображений и видео, сборниках обоев рабочего стола, системных утилитах, играх и другом ПО. Кроме того, по мере продолжения атаки количество потенциальных жертв, которых может затронуть троянец, также может увеличиваться, добавляет эксперт.
«Ведомости» направили запрос в Google.