В марте 2024 года специалисты Kaspersky Lab выявили масштабную кибершпионскую кампанию, нацеленную на пользователей Android в России. Вредоносная программа, получившая название LianSpy, действует с июля 2021 года и обладает широким спектром возможностей по краже конфиденциальных данных. Она способна перехватывать видеозаписи экрана, собирать файлы, журналы вызовов, списки приложений и другие личные сведения.
Описание
Аналитики установили, что злоумышленники, стоящие за LianSpy, применяют изощренные методы маскировки, чтобы избежать обнаружения. В частности, они используют российский облачный сервис Yandex Disk для передачи команд и данных, что позволяет им не задействовать собственную инфраструктуру и оставаться в тени. Предполагается, что заражение устройств происходит либо через скрытые уязвимости в системе, либо при физическом доступе к телефону жертвы.
После проникновения на устройство LianSpy проверяет, запущена ли она как системное приложение, и запрашивает необходимые разрешения. Если доступ к критическим функциям ограничен, вредонос использует дополнительные методы для получения прав. Программа также анализирует окружение, чтобы убедиться, что она не запущена в эмулируемой или отладочной среде, что часто используется исследователями безопасности.
Конфигурация LianSpy сохраняется в файле SharedPreferences, который обычно предназначен для хранения настроек легитимных приложений. Это позволяет вредоносу оставаться активным даже после перезагрузки устройства. Для дополнительной скрытности программа удаляет свой значок из меню и регистрирует фоновый широковещательный приемник, который реагирует на системные события и команды злоумышленников.
Особенностью LianSpy является механизм обновления конфигурации через Yandex Disk. Каждые 30 секунд вредонос ищет в облачном хранилище файл, соответствующий определенному шаблону. Если такой файл обнаружен, он загружается, расшифровывается с помощью алгоритма AES, после чего настройки шпионского ПО обновляются в соответствии с новыми инструкциями.
Собранные данные, включая перехваченные видео, файлы и логи, хранятся в зашифрованном виде в SQL-базе. Каждая запись помечается типом и хэш-суммой SHA-256, что позволяет злоумышленникам эффективно управлять украденной информацией.
Эксперты Kaspersky Lab отмечают, что LianSpy представляет серьезную угрозу для конфиденциальности пользователей. Его сложные методы маскировки и использование популярных облачных сервисов затрудняют обнаружение и блокировку. Пока неизвестно, кто именно стоит за этой кампанией, но ее масштабы и продолжительность говорят о высоком уровне организации злоумышленников.
Пользователям Android рекомендуется соблюдать осторожность при установке приложений, особенно из ненадежных источников, а также регулярно обновлять систему и использовать надежные антивирусные решения. Компания Kaspersky продолжает исследование LianSpy и обещает опубликовать дополнительные рекомендации по защите от этого вредоносного ПО.
Индикаторы компрометации
URLs
- https://pastebin.com:443/raw/0t2c1Djz
- https://pastebin.com:443/raw/2PmX7Bgd
- https://pastebin.com:443/raw/417svXuD
- https://pastebin.com:443/raw/459bbu4H
- https://pastebin.com:443/raw/47uLyg6q
- https://pastebin.com:443/raw/7kxADNLm
- https://pastebin.com:443/raw/81GhQUjK
- https://pastebin.com:443/raw/85DMiWdE
- https://pastebin.com:443/raw/8YXyQtp9
- https://pastebin.com:443/raw/9eQJ8uUd
- https://pastebin.com:443/raw/AgBMX16r
- https://pastebin.com:443/raw/cbLWwCbR
- https://pastebin.com:443/raw/dXXcZDF7
- https://pastebin.com:443/raw/e0SqYu41
- https://pastebin.com:443/raw/fxqART5r
- https://pastebin.com:443/raw/hiAYisG8
- https://pastebin.com:443/raw/hm78BGe9
- https://pastebin.com:443/raw/KRqNqNrT
- https://pastebin.com:443/raw/nSZaB3hw
- https://pastebin.com:443/raw/R509SydV
- https://pastebin.com:443/raw/rzMhGiFp
- https://pastebin.com:443/raw/tUQFWtVY
- https://pastebin.com:443/raw/uc5Ft4z6
- https://pastebin.com:443/raw/w4j6jNBV
- https://pastebin.com:443/raw/Wppem8U5
- https://pastebin.com:443/raw/wSzsbXpg
- https://pastebin.com:443/raw/X4CuaV5L
- https://pastebin.com:443/raw/ZBFe2b4z
- https://pastebin.com:443/raw/zsY6tZLb
- https://pastebin.com:443/raw/zy8BKYyg
MD5
- 084206ec8e6e5684a5acdcbd264d1a41
- 09088db5640381951e1b4449e930ff11
- 15222c61978f9133aa34b5972ce84e7e
- 1ccf5b723c38e30107d55040f10ce32a
- 22b013cfb95df6b4ba0d2d40dc4bddf4
- 23b9e5d4ab90506c6e9a42fa47164b84
- 36bc97ce040ada7142e4add4eb8cd3dd
- 38149658e5aba1942a6147b387f79d3f
- 3a4f780820043a8f855979d2c59f36f2
- 4c3e81bb8e972eef3c9511782f47bdea
- 5b16eb23a2f5a41063f3f09bc4ca47dd
- 69581e8113eaed791c2b90f13be0981a
- 707a593863d5ba9b2d87f0c8a6083f70
- 7de18a7dac0725d74c215330b8febd4e
- 842d600d5e5adb6ca425387f1616d6c4
- 86ea1be200219aca0dc985113747d5ea
- 86f7c39313500abfb12771e0a4f6d47a
- 8f47283f19514178ceb39e592324695a
- 966824d8c24f6f9d0f63b8db41f723b6
- 99d980a71a58c8ad631d0b229602bbe2
- 9f22d6bffda3e6def82bf08d0a03b880
- a7142ad1b70581c8b232dc6cf934bda4
- c449003de06ba5f092ee9a74a3c67e26
- d46c5d134a4f9d3cd77b076eb8af28b3
- d9e9655013d79c692269aeadcef35e68
- da97092289b2a692789f7e322d7d5112
- ec74283d40fd69c8efea8570aadd56dc
- f13419565896c00f5e632346e5782be4
- f37213a7ef3dc51683eec6c9a89e45af
- f78eaca29e7e5b035dbcbabac29eb18d
- fa3fecca077f0797e9223676d8a48391
- fbc2c4226744c363e62fcfeaec1a47f1
