Компания F6, передовой разработчик решений в сфере борьбы с киберпреступностью, провела анализ Android-трояна LunaSpy, который был передан жертве вместе со смартфоном. Сотрудники отдела по борьбе с финансовым мошенничеством (Fraud Protection) компании F6 выявили в феврале и марте текущего года порядка 300 целенаправленных атак с использованием LunaSpy на пользователей российских банков.
LunaSpy представляет собой шпионское вредоносное ПО для платформы Android, которое позволяет перехватывать камеры и микрофоны устройства, записывать экран, а также собирать конфиденциальную информацию.
Киберпреступники применяют LunaSpy адресно после начального этапа атаки, основанного на методах социальной инженерии. В рассмотренном случае LunaSpy был передан жертве вместе с Android-устройством, на которое вредоносное ПО было установлено заранее. Злоумышленники убедили жертву, что полученный смартфон обеспечит повышенную конфиденциальность и безопасность.
Аналитики отдела по борьбе с финансовым мошенничеством (Fraud Protection) компании F6 зафиксировали около 300 атак киберпреступников с использованием LunaSpy. Изученные образцы были замаскированы под антивирусное приложение System framework, однако вредоносное ПО может также скрываться под другими названиями.
Помимо обширного набора инструментов для слежки за пользователем, LunaSpy способен включать функции самозащиты, которые затрудняют его удаление. Когда система обнаруживает окно для деинсталляции приложения, под которым скрывается троян, LunaSpy автоматически нажимает системную кнопку «Назад» и отправляет уведомление на сервер злоумышленников.
Любое нежелательное для киберпреступников действие жертвы может быть отслежено и предотвращено как техническими средствами вредоносного ПО, так и методами социальной инженерии, которые становятся особенно эффективными благодаря возможностям LunaSpy по шпионажу. В изученном смартфоне был найден мессенджер на основе протокола Matrix, через который злоумышленники общались с жертвой.
«Атаки с применением LunaSpy открывают новый потенциальный вектор мошеннических схем, связанный с передачей вредоносного программного обеспечения пользователю вместе с устройством. На полученном жертвой устройстве уже предоставлены все необходимые злоумышленникам разрешения. Развитие этого вектора атак может предоставить киберпреступникам дополнительные возможности для контроля над устройством и защиты вредоносного ПО», — отметил руководитель отдела компании F6 по противодействию финансовому мошенничеству (Fraud Protection) Дмитрий Ермаков.
Специалисты F6 дают пользователям следующие советы: не стоит использовать для входа в банковские и государственные сервисы мобильные устройства, которые были получены от посторонних людей или куплены не в официальных магазинах; при покупке нового гаджета желательно сделать сброс до заводских настроек; не следует устанавливать программы по советам незнакомцев, переходя по ссылкам из SMS, сообщений в мессенджерах, электронных писем или сомнительных сайтов. Перед установкой всегда изучайте отзывы о приложении, уделяя особое внимание негативным – это поможет выявить поддельные и потенциально опасные программы; если вам предлагают загрузить или обновить банковское приложение и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли это предложение исходит от финансовой организации; не давайте приложениям чувствительные разрешения, если не понимаете, зачем они нужны программе. Особенно стоит быть внимательными к запросу доступа к службе Accessibility («Специальные возможности»); проверить устройство на наличие подозрительных программ рекомендуется, если смартфон ведет себя необычно — приложения сами запускаются или закрываются, окна сворачиваются без вашего участия, происходит возврат на домашний экран; если вы подозреваете, что на устройстве есть вредоносное ПО, стоит просмотреть список установленных приложений и выданных им разрешений. Особое внимание следует уделить программам, имеющим права администратора на устройстве, а также доступ к службам Accessibility («Специальные возможности»); не удаляйте банковские приложения с телефона по просьбе третьих лиц. Эти приложения имеют встроенную защиту от мошеннических атак и могут обезопасить вас от действий злоумышленников.
