Android внезапно начал тормозить: внутри оказался шпион, использующий Яндекс

Новый шпионский вирус для Android под названием LianSpy был обнаружен специалистами Kaspersky весной 2024 года, однако его активность фиксируется ещё с 2021-го. Главная особенность этой программы — использование российского облачного сервиса Yandex Cloud для передачи данных. Такой подход позволяет обходиться без собственной инфраструктуры и усложняет обнаружение активности.

Как заподозрить LianSpy на телефоне

Несмотря на высокий уровень маскировки, внимательный пользователь может заметить, что с телефоном происходит что-то неладное. Вот основные признаки:

• устройство стало медленно работать без видимой причины;
• аккумулятор разряжается значительно быстрее;
• телефон нагревается даже при минимальной нагрузке;
• в настройках появляются подозрительные разрешения для приложений;
• в списке программ обнаруживаются неизвестные сервисы без иконки;
• исчезают уведомления от приложений;
• в журналах звонков или файлах фиксируются действия, которых вы не совершали.

Если вы заметили несколько таких симптомов, стоит немедленно просканировать устройство антивирусом и обновить систему до последней версии.

Как работает LianSpy

По данным исследователей, заражение чаще всего происходит через вредоносные приложения, замаскированные под популярные сервисы (например, Alipay) или под системные службы Android. Возможны два сценария: либо через эксплойт неизвестной уязвимости, либо при физическом доступе к смартфону.

После установки LianSpy проверяет, запущен ли он как системное приложение. В этом случае он работает в фоне с административными правами. Если нет — запрашивает расширенные разрешения, позволяющие читать контакты, звонки, уведомления и выводить свои окна поверх интерфейса.

Методы маскировки и обход защиты

LianSpy скрывает свой значок из меню приложений и создаёт конфигурацию, которая сохраняется даже после перезагрузки. Программа умеет определять, запущена ли она в режиме отладки, и корректирует своё поведение.

Отдельного внимания заслуживает обход индикаторов конфиденциальности Android 12, которые должны предупреждать пользователя о работе камеры или микрофона.

"Разработчики LianSpy смогли обойти эту защиту, добавив значение в параметр icon_blacklist в настройках безопасности Android", — отметил исследователь безопасности Дмитрий Калинин.

Шпион также блокирует уведомления от собственных фоновых процессов с помощью NotificationListenerService.

Использование Yandex Cloud

Для связи с операторами LianSpy обращается к Yandex Disk. Каждые 30 секунд он проверяет, нет ли там нового файла-конфигурации, и при необходимости загружает его. Все украденные данные сохраняются в зашифрованном виде в базе SQL и могут быть расшифрованы только владельцами приватного RSA-ключа.

Командно-контрольная связь выстроена односторонне: вирус не принимает команды напрямую, а лишь обновляет настройки. Это снижает вероятность обнаружения. Для подстраховки авторы используют Pastebin, где скрытно размещают новые учётные данные для доступа к облаку.

Дополнительные возможности и рут-доступ

Некоторые версии LianSpy умеют собирать информацию из мессенджеров, популярных в России. Особую опасность представляет внедрённый бинарный файл su под названием "mu", с помощью которого вирус получает рут-доступ и полный контроль над устройством. Эксперты считают, что такая функция активируется на второй стадии атаки или при использовании неизвестной уязвимости.

Почему это опасно

LianSpy показывает новый уровень адаптивности шпионских программ. Использование легальных сервисов вроде Yandex Cloud делает расследование сложнее, а возможности обхода Android 12 и рут-доступ дают атакующим фактически неограниченные возможности.

"Помимо стандартного шпионажа, такого как кража журналов звонков и списков приложений, LianSpy использует рут-доступ для скрытой записи экрана и обхода защитных механизмов", — подчеркнул исследователь безопасности Дмитрий Калинин.

LianSpy — это не просто ещё одно вредоносное приложение. Это инструмент, созданный для долгосрочного и скрытого наблюдения. Его обнаружение крайне затруднено, а ущерб для жертвы может быть колоссальным. Пользователям стоит быть внимательными к поведению своих устройств и ограничить установку программ из непроверенных источников.