Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, исследовала Android-троян LunaSpy, который злоумышленники доставили жертве сразу вместе со смартфоном. Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали в феврале-марте текущего года около 300 таргетированных атак с применением LunaSpy на клиентов российских банков.
LunaSpy – шпионское вредоносное программное обеспечение для операционной системы Android, осуществляет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных.
Злоумышленники используют LunaSpy таргетировано после первичного этапа атаки с использованием социальной инженерии. В исследованном кейсе LunaSpy был доставлен жертве вместе с Android-устройством, на которое ВПО уже было установлено заранее. Злоумышленники внушили жертве, что доставленный смартфон обеспечит большую конфиденциальность и безопасность.
Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) F6 зафиксировали около 300 атак киберпреступников с использованием LunaSpy. Исследованные образцы маскировались под антивирусное решение System framework, но также ВПО может скрываться под другими названиями.
Кроме целого арсенала для слежки за пользователем устройства, LunaSpy может включать функционал самозащиты, препятствующий его удалению. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет сообщение на сервер злоумышленникам.
Любое нежелательное для злоумышленников действие жертвы может быть замечено и предотвращено техническими средствами ВПО или же методами социальной инженерии, которые при возможностях LunaSpy по шпионажу за жертвой становятся еще более эффективными. В исследованном смартфоне был обнаружен мессенджер, работающий на основе протокола Matrix, в котором злоумышленники вели взаимодействие с жертвой.
«Атаки с использованием LunaSpy открывают новый потенциальный вектор мошеннических схем, основанный на доставке вредоносного программного обеспечения пользователю вместе с устройством. Нужные злоумышленникам разрешения уже предоставлены на полученном жертвой устройстве. Развитие этого вектора атаки может открыть перед злоумышленниками новые возможности по контролю за устройством и самозащиты вредоносного ПО».
Дмитрий Ермаков
Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6
Подробности исследования Android-трояна LunaSpy с техническими деталями можно прочитать здесь.
Рекомендации специалистов F6 для пользователей
- Не используйте для авторизации в банковских и государственных сервисах мобильные устройства, полученные от посторонних лиц или не в официальном магазине.
- При приобретении нового устройства рекомендуется выполнение сброса настроек.
- Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов. Перед установкой обязательно проверяйте отзывы о приложении, обращайте особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
- Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка.
- Не предоставляйте чувствительных разрешений приложениям, если не понимаете, с какой целью приложение его запрашивает. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accessibility («Специальные возможности»).
- Проверить устройство на наличие подозрительных приложений рекомендуется, если наблюдается странное поведение смартфона — автоматический запуск / завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран.
- При подозрении на наличие вредоносного ПО на устройстве рекомендуется проверить список приложений, установленных на устройстве, и предоставленные им разрешения. Особенное внимание рекомендуется обратить на приложения с правами администратора на устройстве и с правами на доступ к службам Accessibility («Специальные возможности»).
- Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
