LianSpy: совершенный инструмент для кибершпионажа за элитой в России

Специалисты «Лаборатории Касперского» обнаружили троян для кибершпионажа, нацеленный на владельцев Android-устройств в России. Вредоносное ПО, получившее название LianSpy, могло быть активным с середины 2021 года. Трудность его обнаружения была связана с тем, что атакующие активно скрывают свои следы. По данным экспертов, шпионаж носил точечный характер.

По словам представителей «Лаборатории Касперского», кибершпионаж с использованием LianSpy мог начаться с середины 2021 года. С момента его выявления этой весной специалисты обнаружили более десяти целей. Личности жертв остаются неизвестными, так как эксперты работают с анонимизированными данными на основе срабатывания сервисов компании.

Троян LianSpy маскируется под системные приложения и финансовые сервисы, но его цель не связана с кражей финансовой информации. Зловред собирает и передает данные о контактах, журналы звонков и списки установленных приложений с зараженных устройств. Троян способен записывать экран смартфона при открытии определенных приложений, преимущественно мессенджеров. Кроме того, LianSpy может обходить уведомления от Android, показывающие, что в данный момент на телефоне используется камера или микрофон, отключая появляющуюся во время записи экрана иконку

Эксперты считают маловероятным участие Google в этой шпионской активности, так как у компании есть другие, более эффективные способы слежки. Обычные разработчики ПО тоже вряд ли будут этим заниматься, так как чаще всего встроенный вредоносный функционал связан с рекламным софтом или сбором информации о пользователе, но не о его переписке.

Заражение устройств могло происходить удаленно с эксплуатацией нескольких неустановленных уязвимостей или при физическом доступе к телефону. Однако точный вектор атаки (из этих двух) остается неизвестным, так как у специалистов для анализа была только сама вредоносная программа.

LianSpy не требует от пользователя никаких действий для активации. При запуске зловред «прячет» свою иконку и работает в фоновом режиме, поэтому пользователь не знает о проблеме. При этом активированный троян получает полный контроль над устройством. Троян LianSpy использует необычные для мобильного шпиона техники: для передачи информации с зараженных устройств злоумышленники применяют только публичные сервисы, что затрудняет атрибуцию атакующей группы.

По мнению экспертов, в данном случае злоумышленники могут быть заинтересованы в получении конфиденциальных данных, чувствительной переписки, личных контактов и другой информации.

Зараженные устройства могут быть использованы для создания ботнет-сети, которая применяется для хакерских и информационных атак, распространения вредоносного ПО или получения доступа к личным аккаунтам, поясняют эксперты. Если вредоносная программа собирает контакты и копирует экраны мессенджеров, то злоумышленников может интересовать круг общения жертвы и темы их разговоров. Таким образом, можно атаковать помощников высокопоставленных чиновников и руководителей.

Отмечается, что атака направлена на узкий круг лиц, на чьих смартфонах, скорее всего, нет средств мониторинга. При этом сама вредоносная программа не крадет деньги и не имеет явных проявлений, что делает её обнаружение сложным. Количество жертв может быть значительным, учитывая, что троян маскируется под популярные системные и банковские приложения.