Beveiligingsexperts van F6 hebben een nieuwe aanvalsmethode ontdekt waarbij schadelijke software zich verspreidt via vooraf geïnfecteerde smartphones. Het gaat om het LunaSpy Android-trojan, dat eerst op apparaten wordt geïnstalleerd en vervolgens aan slachtoffers wordt doorgegeven vermomd als een veilig, betrouwbaar toestel.
Volgens specialisten werden in februari en maart alleen al ongeveer 300 gerichte aanvallen geregistreerd, gericht op klanten van Russische banken. Aanvallers gebruiken eerst social engineering-technieken om mensen ervan te overtuigen dat ze hun apparaat moeten vervangen, waarna ze een smartphone verstrekken die al is voorzien van spyware.
LunaSpy beschikt over uitgebreide bewakingsmogelijkheden: het kan schermen opnemen, camera- en microfoondata onderscheppen en persoonlijke informatie verzamelen. De malware vermomt zichzelf als systeemdiensten, zoals antivirussoftware, en verzet zich actief tegen verwijdering door gebruikerspogingen om het te deïnstalleren in de gaten te houden.
De trojan stelt aanvallers ook in staat om de acties van slachtoffers in realtime te besturen. In sommige gevallen werden gespecialiseerde berichten-apps op apparaten aangetroffen, waarmee criminelen hun activiteiten kunnen coördineren en met gebruikers kunnen communiceren om de misleiding te versterken.
Experts waarschuwen dat deze aanvallen een gevaarlijk nieuw fraudescenario vertegenwoordigen waarbij apparaten vanaf het begin gecompromitteerd zijn. Voor gebruikers betekent dit dat ze smartphones alleen bij officiële retailers moeten kopen, verdachte app-installatielinks moeten vermijden en programmatoestemmingen zorgvuldig moeten monitoren.