В России орудует уникальный вирус, который собирает пользовательские данные

Что такое LianSpy
обнаружили LianSpy в марте 2024 года, но действует он, по нашим данным, как минимум три года — с июля 2021-го! Почему LianSpy так долго оставался в тени? Дело в том, что атакующие тщательно прячут следы работы вредоносного ПО: при запуске программа прячет свою иконку на рабочем столе и работает в фоновом режиме, используя права суперпользователя. Это позволяет зловреду обходить уведомления Android в статус-баре, которые показывают жертве, что в текущий момент смартфон использует камеру или микрофон.
LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересуют банковские данные жертв: шпионское ПО тихо и незаметно следит за активностью пользователей, перехватывая данные журнала звонков, отправляя список установленных приложений на сервер атакующих, а также записывает экран смартфона, в основном — при работе с мессенджерами.


Как работает LianSpy
В отличие от других представителей шпионского ПО, эксплуатирующих zero-click-уязвимости, LianSpy все же требует от жертвы некоторых действий. В начале работы вредонос проверяет, есть ли у него требуемые разрешения на чтение контактов, журнала вызовов и работу с оверлеем; если нет — запрашивает их. После этого программа регистрирует широковещательный приемник Android Broadcast Receiver для получения информации о событиях в системе, отвечающий за запуск или остановку различных вредоносных задач.
LianSpy довольно-таки нестандартно использует права суперпользователя. Обычно root-права используются для получения полного контроля над устройством, но в случае LianSpy атакующие используют лишь малую часть доступного суперпользователю функционала. Любопытно, что root-права используются таким образом, чтобы не допустить их выявления защитными решениями.
LianSpy — постэксплуатационный троян: злоумышленники либо задействовали уязвимости для рутования Android-устройств, либо использовали физический доступ к устройствам жертв для модификации прошивки. Какую именно уязвимость могли задействовать атакующие в первом случае, пока неизвестно. Еще одна особенность LianSpy — использование комбинации симметричного (один и тот же ключ используется для кодирования и восстановления информации) и асимметричного (применяются открытый и закрытый ключи) шифрования. Перед кражей данные шифруются симметричным алгоритмом, ключ для которого зашифрован асимметричным, при этом закрытым ключом владеет только атакующий. Другие особенности работы LianSpy — в публикации Securelist.