Специалисты компании F6 предупреждают об Android-трояне LunaSpy, который злоумышленники доставляют жертвам весьма нетривиальным способом — вместе со смартфоном. То есть пользователь получает устройство, на котором малварь уже установлена и настроена.
По данным исследователей, атаки с использованием LunaSpy носят таргетированный характер и направлены против клиентов банковского сектора в России. В общей сложности специалисты зафиксировали около 300 подобных атак.
Схема выглядит следующим образом: сначала злоумышленники устанавливают контакт с жертвой с помощью социальной инженерии, а затем передают ей Android-устройство с предустановленной малварью (например, убеждая человека, что такой смартфон обеспечивает конфиденциальность и безопасность). На смартфоне LunaSpy уже имеет все необходимые разрешения — права администратора, доступ к Accessibility-службам и автозапуск в фоновом режиме.
Сам вредонос маскируется под антивирус System Framework и имитирует интерфейс защитного приложения, предлагая пользователю «сканирование». Разумеется, результаты такой «проверки» (количество файлов и найденных угроз) генерируются случайным образом.
На деле при нажатии кнопки «Начать сканирование» запускаются четыре фоновых сервиса: запись с микрофона (Sound), захват экрана (SDisplay), трансляция с камер (SCamera) и сбор данных по команде с управляющего сервера (SData).
Набор возможностей LunaSpy впечатляет. Малварь способна записывать аудио (в том числе с использованием кодека OPUS для сжатия), вести видеосъемку с камер устройства в разном качестве, перехватывать содержимое экрана, похищать SMS, контакты, историю звонков, данные о геолокации, SIM-картах, сетевых интерфейсах и батарее. Помимо этого вредонос отслеживает запуск браузеров и мессенджеров и перехватывает вводимые пароли через Accessibility-службы.
Также в отчете специалистов отдельное внимание уделено механизму самозащиты малвари. LunaSpy отслеживает экран устройства в поисках элементов, связанных с попыткой удаления приложения. Если пользователь заходит в настройки приложений, в свойства трояна или пытается его удалить, вредонос автоматически нажимает кнопку «Назад» и отправляет отчет на сервер своих операторов.
Для связи с управляющей инфраструктурой LunaSpy использует пул доменных адресов с ротацией IP — если один сервер становится недоступен, малварь переключается на другой. В исследованном образце аналитики нашли 18 таких пулов, хотя активно использовался только один.
Кроме того, на зараженном смартфоне обнаружили мессенджер на основе протокола Matrix, через который злоумышленники общались с жертвой. Бэкенд мессенджера работал на серверах самих преступников, то есть им не требовались общедоступные платформы.
Аналитики отмечают, что подобный вектор атаки — доставка зараженного устройства — может развиваться и дальше. Таким образом, злоумышленникам не нужно убеждать жертву устанавливать приложение и выдавать ему разрешения: все это уже сделано заранее.
