Откривен је нови малвер који напада и шпијунира Андроид телефоне.
У питању је малвер под именом "LianSpy", који је први пут примјећен у марту 2024. године, како је извјестила антивирус компанија Касперски.
Ипак, сматрају да је активан још од јула 2021, али да је успио да остане непримјећен толико дуго захваљујући томе што су нападачи помно прикривали трагове.
По покретању, "LianSpy" сакрива своју икону на почетном екрану и ради у позадини користећи роот привилегије. Ово му омогућава да избјегне обавјештења на статусној траци Андроид уређаја, која би обично упозорила жртву да паметни телефон активно користи камеру или микрофон.
"LianSpy" се маскира у системске апликације и апликације банака. Међутим, нападаче не занимају банкарски подаци жртава. Овај шпијунски софтвер дискретно прати активности корисника тако што пресреће евиденције позива, шаље листу инсталираних апликација на сервер нападача и снима екран паметног телефона и то углавном током активности месинџера.
За разлику од других шпијунских малвера који искоришавају рањивости без иједног клика, "LianSpy" захтијева неке радње од стране жртве. По покретању, малвер провјерава да ли има потребне дозволе за читање контаката и евиденција позива и напад преклапања. Ако их нема, тражи их од жртве. Након тога региструје "Android Broadcast Receiver" да би добио информације о системским догађајима, што му омогућава да покрене или заустави разне злонамјерне задатке.
"LianSpy" користи роот привилегије на прилично неконвенционалан начин. Оне се обично користе за потпуну контролу над уређајем. Међутим, у случају "LianSpy" малвера, нападачи их користе да би спријечили да буду откривени.
Нападачи користе рањивости за роотовање Андроид уређаја или модификују "firmware" тако што добију физички приступ уређајима жртава. Остаје нејасно коју рањивост су нападачи могли искористити у првом сценарију.
Још једна карактеристика "LianSpy" је његова комбинована употреба симетричне (један кључ за шифровање и дешифровање) и асиметричне (одвојени јавни и приватни кључеви) енкрипције. Прије крађе, подаци се шифрују симетричним алгоритмом чији је кључ асиметрично шифрован. Само нападач посједује приватни кључ.
Ко стоји иза "LianSpy" малвера? Нападачи користе само јавне сервисе, а не приватну инфраструктуру, што отежава да се утврди која хакерска група стоји иза ових напада на кориснике Андроид паметних телефона. Овакве софистициране кампање сајбер шпијунаже често су дјело група које спонзоришу државе.
За сада, из антивирус компаније кажу да су угрожени само телефони у Русији, али да због неконвенционалног приступа нападача, нема никаквих препрека да мета буду Андроиди и у другим дијеловима свијета.