Очередное приложение-шпион для платформы Android было найдено и заблокировано компанией Google. Программа Lipizzan может просматривать и красть электронные письма, переписку в мессенджерах, получать информацию о контактах, слушать и записывать звонки, снимать скриншоты, звук и видео с камеры и мониторить местоположение.
Приложение перехватывает данные из следующих программ: Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber и Whatsapp. Найдено менее 100 устройств, инфицированных Lipizzan, поэтому можно сказать, что оно нацелено на конкретных людей, а не на всех пользователей без разбора. Можно вспомнить приложение Chrysaor, которое было версией программы Pegasus для iPhone, последнее применялось для наблюдения за активистами на Среднем Востоке.
Lipizzan описывается как сложный двухэтапный шпион с распространением по нескольким каналам, в том числе в магазине Google Play Store. Он выдаёт себя за обычные приложения, вроде программ резервного копирования или очистки. Распространяют вредоносный код около 20 приложений. Они смогли обойти механизм защиты Google Play, поскольку вся противоправная активность начинается только после попадания на устройства.
После установки загружается второй модуль, который проверяет устройство и выполняет рут, потом подключается к серверу для отправки на него собранных данных. Google заблокировала первую волну приложений Lipizzan, после чего в течение недели появилась вторая. Они выдавали себя за блокнот, программу записи звука и будильник. Вместо скачивания второго модуля после установки он хранился внутри приложения в зашифрованном виде.
Google снова сумела обнаружить приложения и удалить их из магазина. Разработчики Android уверяют, что защитная функция Google Play Protect блокирует Lipizzan при установке на устройства. Этот шпион затронул всего 0,000007% Android-устройств.