Шпионское ПО с мобильным телефоном

Компания F6 исследовала Android-троян LunaSpy, который злоумышленники доставили жертве сразу вместе со смартфоном.

LunaSpy – шпионское вредоносное программное обеспечение для операционной системы Android, осуществляет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных.

Злоумышленники используют LunaSpy таргетировано после первичного этапа атаки с использованием социальной инженерии. В исследованном кейсе LunaSpy был доставлен жертве вместе с Android-устройством, на которое ВПО уже было установлено заранее. Злоумышленники внушили жертве, что доставленный смартфон обеспечит большую конфиденциальность и безопасность.

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) F6 зафиксировали около 300 атак киберпреступников с использованием LunaSpy. Исследованные образцы маскировались под антивирусное решение System framework, но также ВПО может скрываться под другими названиями.

Кроме целого арсенала для слежки за пользователем устройства, LunaSpy может включать функционал самозащиты, препятствующий его удалению. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет сообщение на сервер злоумышленникам.

Любое нежелательное для злоумышленников действие жертвы может быть замечено и предотвращено техническими средствами ВПО или же методами социальной инженерии, которые при возможностях LunaSpy по шпионажу за жертвой становятся еще более эффективными. В исследованном смартфоне был обнаружен мессенджер, работающий на основе протокола Matrix, в котором злоумышленники вели взаимодействие с жертвой.

Подробности исследования Android-трояна LunaSpy с техническими деталями можно прочитать в статье.

Рекомендации специалистов F6 для пользователей:
не используйте для авторизации в банковских и государственных сервисах мобильные устройства, полученные от посторонних лиц или не в официальном магазине;
при приобретении нового устройства рекомендуется выполнение сброса настроек;
не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов. Перед установкой обязательно проверяйте отзывы о приложении, обращайте особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы;
если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка;
не предоставляйте чувствительных разрешений приложениям, если не понимаете, с какой целью приложение его запрашивает. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accessibility («Специальные возможности»);
проверить устройство на наличие подозрительных приложений рекомендуется, если наблюдается странное поведение смартфона — автоматический запуск / завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран;
при подозрении на наличие вредоносного ПО на устройстве рекомендуется проверить список приложений, установленных на устройстве, и предоставленные им разрешения. Особенное внимание рекомендуется обратить на приложения с правами администратора на устройстве и с правами на доступ к службам Accessibility («Специальные возможности»);
не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.