«Лаборатория Касперского» обнаружила слежку на Android-устройствах. Что грозит рядовым пользователям
Когда появился вирус LianSpy
По данным компании, шпионаж мог начаться в середине 2021 года, но из-за активного сокрытия следов обнаружение вируса было затруднено. Киберсталкинг носил целенаправленный характер, и только весной этого года специалисты «Лаборатории Касперского» выявили более десятка целей. Жертвы не уточняются, так как используются анонимизированные данные, говорится в пресс-релизе компании.
Как маскируется LianSpy
LianSpy маскируется под системные приложения и финансовые сервисы, но не интересуется финансовой информацией. Вредонос «всего лишь» собирает и передает данные о контактах, журнале звонков и установленных приложениях. Он также может записывать информацию с экрана при использовании мессенджеров, причем незаметно для системы обходит уведомления Android о работе камеры или микрофона.
Как запускается LianSpy
LianSpy начинает действовать после того, как злоумышленники либо взламывают Android-устройство через уязвимости, либо физически добираются до него и модифицируют прошивку. Правда, пока неясно, какую именно уязвимость они могли использовать в первом случае.
Поскольку выявлено мало зараженных устройств, возможно, что этот троян был нацелен на определенные устройства или людей, считает доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук Дмитрий Зиборов.
«Заражение могло произойти не через ссылки, а при физическом доступе к устройству. Возможно, эти устройства находились в одних местах, и был прямой доступ через кабель».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Еще одна интересная особенность LianSpy — это умелое сочетание двух видов шифрования. Сначала данные шифруются симметрично (одним ключом), а потом этот ключ шифруется асимметрично (с использованием открытого и закрытого ключей). Причем закрытый ключ есть только у злоумышленников.
Что «просит» LianSpy от пользователей и Android Broadcast Receiver
В отличие от других шпионских программ, сидящих «тихо», LianSpy требует некоторых действий от пользователя. После установки вредоносное ПО проверяет наличие разрешений на доступ к контактам, журналам вызовов и оверлеям, и запрашивает их при необходимости. Затем оно регистрирует Android Broadcast Receiver для отслеживания системных событий, что позволяет запускать и останавливать различные вредоносные операции. После этого вирус прячется с помощью полученных прав администратора и работает в фоновом режиме. Это позволяет ему обходить уведомления Android, которые обычно предупреждают пользователя о том, что устройство использует камеру или микрофон. Однако в случае с LianSpy злоумышленники используют только небольшую часть возможностей, доступных суперпользователям.
В чем цель атаки LianSpy
Целью злоумышленников могут быть конфиденциальные данные, личная переписка и контакты. Инфицированные устройства также могут стать частью ботнет-сетей для хакерских атак или распространения вредоносного ПО. Подобные атаки происходят как на компьютерах, так и на мобильных устройствах, отметил Дмитрий Зиборов.
Также злоумышленников может интересовать круг общения жертвы и темы разговоров, что делает такие атаки целевыми и сложными для обнаружения. Обычно они направлены на узкий круг лиц, для чего используется ПО, разработанное специально для конкретных ситуаций.
Кто стоит за слежкой с помощью LianSpy
Злоумышленники используют исключительно государственные сервисы, что усложняет установление конкретной хакерской группы, ответственной за атаки на Android-смартфоны в России. Личность заказчика остается неизвестной, однако мировой опыт показывает, что подобные кибершпионские кампании часто организуются группами, связанными с государственными структурами, говорится в пресс-релизе компании.
Однако маловероятно, что за шпионажем стоит сам Google: там используют другие методы для слежки.
«Его создание, безусловно, не связано с крупными корпорациями. У компании Google как ключевого разработчика системы Android нет необходимости в таких методах, ведь у компании уже есть достаточные ресурсы для мониторинга пользовательских устройств. Для такой корпорации это попросту не нужно».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Троян LianSpy использует уникальные методы для мобильного шпионажа, что усложняет его отслеживание. Злоумышленники передают данные исключительно через публичные сервисы, затрудняя атрибуцию атак.
«Пока неизвестно, кто стоит за созданием этого вредоносного ПО. Мы ожидаем результатов расследования от лаборатории. Судя по поведению программы, определить ее разработчика будет весьма сложно, так как предприняты серьезные меры, чтобы не допустить идентификации создателя этого трояна».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Стоит ли опасаться трояна LianSpy
Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров считает, что количество пострадавших может быть значительным, особенно если речь идет о системных и банковских приложениях. Например, троян Android.HiddenAds, скрывавшийся в обычных приложениях, в 2019 году, скачали почти 10 миллионов раз. С распространением вируса число потенциальных жертв может вырасти, рассказал эксперт в интервью «Ведомостям».
Однако Дмитрий Зиборов не разделяет опасений коллеги. «Лаборатория Касперского» объявила сейчас о новом трояне, так как это их задача — обеспечивать кибербезопасность. Но большинство пользователей от LianSpy не пострадает.
«Не стоит выбрасывать андроид-смартфоны. Бояться нечего, даже если устройство заражено, но владелец не является высокопоставленным лицом или руководителем крупной корпорации и не занимается запрещенной деятельностью».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Как удалить троян самостоятельно
По словам эксперта, обнаружить и удалить троян может любой пользователь с помощью стандартных средств безопасности и мобильного антивирусного ПО.
«Такие мобильные антивирусы обязательно должны быть на устройстве. Желательно, чтобы они всегда работали в фоновом режиме, но если это невозможно, следует регулярно проводить полную проверку гаджетов. При этом необязательно использовать только Касперского, можно выбрать продукты других фирм».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Обычно, когда «Лаборатория» обнаруживает новый вирус и разрабатывает методы борьбы с ним, другие производители антивирусов также включают очередного зловреда в свои базы данных, напомнил эксперт. В результате любой хороший антивирус сможет его найти и изолировать.
«Все файлы, содержащие вирус, будут удалены или очищены в зависимости от структуры программы. Стоит отметить, что эту шпионскую программу видели только в лаборатории Касперского, и более детальной информацией владеет только их команда».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Способы защиты от шпионского ПО: советы эксперта
- В первую очередь следует установить антивирусную программу на смартфоне и активировать все доступные системы безопасности в настройках устройства.
- Важно регулярно обновлять операционную систему до последней версии. Разработчики операционных систем постоянно ищут и устраняют уязвимости, выпуская патчи. Поэтому при использовании актуальной версии вероятность заражения снижается, хотя полностью исключить проблемы нельзя.
- Необходимо регулярно проверять устройство на наличие угроз.
- Скачивайте программы исключительно из официальных источников. Однако помните, что шпионское ПО может оказаться даже там.
- Используйте только проверенные приложения от известных разработчиков. Предоставляйте приложениям только необходимые для их работы разрешения.
- Избегайте сторонних клиентов для мессенджеров и других сервисов: там может быть вредоносный код.
«Что касается сокрытия переписки, некоторые мессенджеры позволяют автоматически удалять чаты через определенное время. Это может быть полезно, если вы беспокоитесь о сохранности своих данных. Однако если вы не занимаетесь противозаконной деятельностью и не обладаете важными инсайдами, сильно переживать не стоит — злоумышленникам вы не будете интересны».
Дмитрий Зиборов
доцент кафедры РЭУ имени Г. В. Плеханова, кандидат технических наук
Ранее эксперты предупредили о росте числа хакерских атак с использованием программ-стилеров.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».