В F6 рассказали о случаях отправки россиянам шпионского ПО LunaSpy вместе с телефоном

Разработчик технологий для борьбы с киберпреступностью F6 рассказал о случаях, когда злоумышленники вместе с мобильным телефоном отправляют жертве шпионское программное обеспечение. Как сообщили Forbes в компании, речь идет о LunaSpy — шпионском вредоносном ПО для операционной системы Android, которое осуществляет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных.

Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) F6 только в феврале-марте зафиксировали около 300 таргетированных атак с применением LunaSpy на клиентов российских банков. Злоумышленники используют LunaSpy после первичного этапа атаки с использованием социальной инженерии, пояснили в F6. Компания исследовала случай, при котором LunaSpy был доставлен жертве вместе с Android-устройством — вредоносное ПО было установлено на него заранее. «Злоумышленники внушили жертве, что доставленный смартфон обеспечит большую конфиденциальность и безопасность», — рассказали в F6. 

Исследованные аналитиками F6 образцы маскировались под антивирусное решение System framework, но вредоносное ПО может скрываться и под другими названиями. Кроме целого арсенала для слежки за пользователем устройства, LunaSpy может включать функционал самозащиты, препятствующий его удалению. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет сообщение на сервер злоумышленникам.

По данным F6, любое нежелательное для злоумышленников действие жертвы может быть замечено и предотвращено техническими средствами ВПО или же методами социальной инженерии, которые при возможностях LunaSpy по шпионажу за жертвой становятся еще более эффективными. В исследованном смартфоне был обнаружен мессенджер, работающий на основе протокола Matrix, в котором злоумышленники вели взаимодействие с жертвой.

«Атаки с использованием LunaSpy открывают новый потенциальный вектор мошеннических схем, основанный на доставке вредоносного программного обеспечения пользователю вместе с устройством. Нужные злоумышленникам разрешения уже предоставлены на полученном жертвой устройстве», — сказал руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков. По его словам, развитие этого вектора атаки может открыть перед злоумышленниками новые возможности по контролю за устройством и самозащиты вредоносного ПО.

Специалисты F6 рекомендуют пользователям не использовать для авторизации в банковских и государственных сервисах мобильные устройства, полученные от посторонних лиц или не в официальном магазине; при приобретении нового устройства сбрасывать настройки; не устанавливать приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов (перед установкой советуют в обязательном порядке проверить отзывы о приложении — это поможет определить фейковые и потенциально опасные программы).

Если предлагают перейти по ссылке и установить или обновить приложение банка, необходимо позвонить на горячую линию, указанную на официальном сайте банка, и уточнить, действительно ли предложение исходит от банка. Кроме того, в F6 рекомендуют не предоставлять чувствительных разрешений приложениям, если неясно, с какой целью это необходимо. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accessibility («Специальные возможности»). Если смартфон ведет себя странно (автоматический запуск или завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран), рекомендуется проверить устройство на наличие подозрительных приложений.

При подозрении на наличие вредоносного ПО на устройстве рекомендуется проверить список установленных приложений и предоставленные им разрешения. Специалисты также рекомендуют не удалять банковские приложения из телефона по запросу третьих лиц. Приложения банков имеют встроенную защиту от мошеннических атак и могут защитить от действий преступников, отметили в F6.