Обнаружен Android-шпион LianSpy, нацеленный на российских пользователей - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Обнаружен Android-шпион LianSpy, нацеленный на российских пользователей - «Новости»

Специалисты «Лаборатории Касперского» обнаружили шпионский троян LianSpy. Этот вредонос применяется в кибершпионской кампании, нацеленной на конкретных владельцев Android-устройств в России. Исследователи пишут, что кампания длится уже не первый год (предположительно, с июля 2021 года) и по сей день представляет угрозу.


«Принимая во внимание факт, что ключевые фразы для фильтрации уведомлений частично прописаны на русском языке, а также то, что некоторые из стандартных конфигураций вариантов LianSpy содержат названия пакетов мессенджеров, широко распространенных среди российских пользователей, мы предполагаем, что эта программа-шпион нацелена на пользователей из России», — рассказывают специалисты.


В своем отчете эксперты сообщают, что LianSpy способен записывать экран устройства при открытии определенных приложений (преимущественно мессенджеров), похищать документы пользователей, сохранять данные журналов вызовов и собирать списки приложений. При этом подчеркивается, что атакующих не интересует финансовая информация жертв.


Злоумышленники, стоящие за этой малварью, действуют скрытно: вместо собственной инфраструктуры они используют «Яндекс Диск» в качестве управляющего сервера, а также задействуют различные средства защиты от обнаружения.


По некоторым признакам эксперты предполагают, что LianSpy, скорее всего, внедряется в системы жертв после эксплуатации неизвестной уязвимости или при физическом доступе к телефону.


«Зловред использует бинарный файл su, необходимый для получения root-доступа, с измененным именем. Исследованные образцы вредоносного ПО пытаются найти бинарный файл mu в стандартных каталогах su. Скорее всего, таким образом злоумышленник старается скрыть факт активации root-привилегий на устройстве жертвы. Такая зависимость от модифицированного бинарного файла позволяет предположить, что эта программа-шпион доставляется на устройство в результате эксплуатации неизвестной уязвимости или посредством физического доступа к телефону жертвы», — говорят исследователи.


При запуске вредоносное приложение проверяет, запущено ли оно как системное, — в этом случае необходимые для работы разрешения выдаются автоматически. В противном случае малварь запрашивает разрешения на отображение поверх других окон, доступ к уведомлениям и выполнение в фоновом режиме, а также такие необходимые права доступа, как чтение списка контактов и журналов вызовов


После запуска LianSpy скрывает свою иконку и работает в фоновом режиме, чтобы избежать обнаружения, после чего активно использует права суперпользователя (root-права) — таким образом у получая полный контроль над устройством и возможность скрывать свою активность.


Например, LianSpy может обходить уведомления Android, явно показывающие, что в данный момент на телефоне используется камера или микрофон — LianSpy отключает иконку в статус-баре, которая появляется во время записи экрана. Также LianSpy скрывает уведомления от вызываемых фоновых сервисов с помощью службы NotificationListenerService, которая обрабатывает уведомления и может удалять их из строки состояния.


Для обновления своей конфигурации LianSpy каждые 30 секунд ищет на «Яндекс Диске» злоумышленников файл, соответствующий регулярному выражению ^frame_.+.png$. Если файл найден, он загружается во внутренний каталог данных приложения. Затем малварь расшифровывает оверлей (данные, записанные после полезной нагрузки) в загруженном файле с помощью заданного в коде ключа для AES-шифрования. После средство обновления конфигурации пытается найти в расшифрованной полезной нагрузке набор подстрок, изменяющих конфигурацию LianSpy.


Примечательно, что, помимо обновления конфигурации, коммуникация между управляющим сервером и LianSpy осуществляется в одностороннем порядке: малварь не получает с «Яндекс Диска» больше никаких команд. В зависимости от конфигурации вредонос выполняет поиск обновлений и кражу данных.


При этом учетные данные «Яндекс Диска» обновляются с заданной в коде вредоноса страницы pastebin, которая может отличаться от варианта к варианту.


Отмечается, что LianSpy использует необычные для мобильной спайвари техники. Например, он применяет комбинацию симметричного и асимметричного шифрования, и не использует какую-либо приватную инфраструктуру — только публичные сервисы. По словам исследователей, все это затрудняет процесс атрибуции кампании какой-либо группе атакующих.


Кроме того, троян нестандартно использует root-права для сокрытия факта повышения привилегий. Это дает основания предполагать, что вредонос предназначен для постэксплуатациони, то есть активизируется уже после использования уязвимостей.


Специалисты резюмируют, что эта угроза не имеет сходства с другими текущими кампаниями, нацеленными на российских пользователей.


Специалисты «Лаборатории Касперского» обнаружили шпионский троян LianSpy. Этот вредонос применяется в кибершпионской кампании, нацеленной на конкретных владельцев Android-устройств в России. Исследователи пишут, что кампания длится уже не первый год (предположительно, с июля 2021 года) и по сей день представляет угрозу. «Принимая во внимание факт, что ключевые фразы для фильтрации уведомлений частично прописаны на русском языке, а также то, что некоторые из стандартных конфигураций вариантов LianSpy содержат названия пакетов мессенджеров, широко распространенных среди российских пользователей, мы предполагаем, что эта программа-шпион нацелена на пользователей из России», — рассказывают специалисты. В своем отчете эксперты сообщают, что LianSpy способен записывать экран устройства при открытии определенных приложений (преимущественно мессенджеров), похищать документы пользователей, сохранять данные журналов вызовов и собирать списки приложений. При этом подчеркивается, что атакующих не интересует финансовая информация жертв. Злоумышленники, стоящие за этой малварью, действуют скрытно: вместо собственной инфраструктуры они используют «Яндекс Диск» в качестве управляющего сервера, а также задействуют различные средства защиты от обнаружения. По некоторым признакам эксперты предполагают, что LianSpy, скорее всего, внедряется в системы жертв после эксплуатации неизвестной уязвимости или при физическом доступе к телефону. «Зловред использует бинарный файл su, необходимый для получения root-доступа, с измененным именем. Исследованные образцы вредоносного ПО пытаются найти бинарный файл mu в стандартных каталогах su. Скорее всего, таким образом злоумышленник старается скрыть факт активации root-привилегий на устройстве жертвы. Такая зависимость от модифицированного бинарного файла позволяет предположить, что эта программа-шпион доставляется на устройство в результате эксплуатации неизвестной уязвимости или посредством физического доступа к телефону жертвы», — говорят исследователи. При запуске вредоносное приложение проверяет, запущено ли оно как системное, — в этом случае необходимые для работы разрешения выдаются автоматически. В противном случае малварь запрашивает разрешения на отображение поверх других окон, доступ к уведомлениям и выполнение в фоновом режиме, а также такие необходимые права доступа, как чтение списка контактов и журналов вызовов После запуска LianSpy скрывает свою иконку и работает в фоновом режиме, чтобы избежать обнаружения, после чего активно использует права суперпользователя (root-права) — таким образом у получая полный контроль над устройством и возможность скрывать свою активность. Например, LianSpy может обходить уведомления Android, явно показывающие, что в данный момент на телефоне используется камера или микрофон — LianSpy отключает иконку в статус-баре, которая появляется во время записи экрана. Также LianSpy скрывает уведомления от вызываемых фоновых сервисов с помощью службы NotificationListenerService, которая обрабатывает уведомления и может удалять их из строки состояния. Для обновления своей конфигурации LianSpy каждые 30 секунд ищет на «Яндекс Диске» злоумышленников файл, соответствующий регулярному выражению ^frame_. .png$. Если файл найден, он загружается во внутренний каталог данных приложения. Затем малварь расшифровывает оверлей (данные, записанные после полезной нагрузки) в загруженном файле с помощью заданного в коде ключа для AES-шифрования. После средство обновления конфигурации пытается найти в расшифрованной полезной нагрузке набор подстрок, изменяющих конфигурацию LianSpy. Примечательно, что, помимо обновления конфигурации, коммуникация между управляющим сервером и LianSpy осуществляется в одностороннем порядке: малварь не получает с «Яндекс Диска» больше никаких команд. В зависимости от конфигурации вредонос выполняет поиск обновлений и кражу данных. При этом учетные данные «Яндекс Диска» обновляются с заданной в коде вредоноса страницы pastebin, которая может отличаться от варианта к варианту. Отмечается, что LianSpy использует необычные для мобильной спайвари техники. Например, он применяет комбинацию симметричного и асимметричного шифрования, и не использует какую-либо приватную инфраструктуру — только публичные сервисы. По словам исследователей, все это затрудняет процесс атрибуции кампании какой-либо группе атакующих. Кроме того, троян нестандартно использует root-права для сокрытия факта повышения привилегий. Это дает основания предполагать, что вредонос предназначен для постэксплуатациони, то есть активизируется уже после использования уязвимостей. Специалисты резюмируют, что эта угроза не имеет сходства с другими текущими кампаниями, нацеленными на российских пользователей.
CSS
запостил(а)
Thomson
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: