LSPosed и Digital Lutera: угроза для UPI и банковских приложений

В отчёте исследователей безопасности описана значительная эволюция мобильных угроз, сосредоточенная вокруг фреймворка LSPosed. Злоумышленники используют его возможности для манипуляции средой выполнения Android и захвата легитимных платёжных приложений без их модификации — сохраняя цифровые подписи приложений и обходя традиционные механизмы защиты, такие как Google Play Protect. Ключевой компонент атак — модуль, получивший обозначение Digital Lutera, — нацелен преимущественно на индийскую финансовую экосистему и эксплуатирует уязвимости в UPI (Unified Payments Interface).

Суть угрозы

Атаки опираются на возможности runtime hooking, которые предоставляет LSPosed: злоумышленник принуждает легитимное приложение выполнять поддельные операции, не изменяя его APK и не ломая цифровую подпись. В результате традиционные сигнатуры и контрмеры часто остаются бессильны.

Модуль Digital Lutera реализует несколько ключевых приёмов:

• перехват системных сообщений и SMS;
• подмена идентичности устройства и параметров SIM;
• эксфильтрация двухфакторных кодов (2FA) и отправка их на внешние платформы (Telegram и т.п.);
• инициация silent SMS в банковские сервисы с поддельным содержимым, имитирующим сообщения от мобильного оператора;
• создание функциональности типа RAT (remote access tool) посредством команд с C2‑серверов.

Как выглядит цепочка атаки

Типичная атака разворачивается по следующему сценарию:

• социальная инженерия и заражение устройства жертвы троянским APK, который запрашивает разрешения на чтение/запись SMS;
• компрометация приложения для платежей без изменения его APK, используя LSPosed на контролирующем устройстве злоумышленника;
• перехват исходящих SMS, эксфильтрация 2FA и подмена содержимого сообщений;
• манипуляция SIM‑привязкой UPI: банковские серверы вводятся в заблуждение, принимая скомпрометированное устройство за легитимное;
• в реальном времени инициируются переводы и вывод средств, контролируемые атакующими через C2.

Почему это работает

Критический фактор успеха атак — неверное предположение о том, что физическое наличие SIM‑карты равно безопасному устройству. Механизмы авторизации UPI часто завязаны на привязку к SIM и на SMS‑коды. Злоумышленники, подделывая данные о SIM и перехватывая SMS, аннулируют эти гарантии и получают несанкционированный доступ к счёту.

«Атаки с использованием LSPosed демонстрируют сдвиг от простого malware к многоуровневым операциям, когда легитимные приложения принуждают выполнять вредоносные действия без изменения их кода», — отмечают авторы отчёта.

Последствия для пользователей и банков

• рост финансового мошенничества и потерь в реальном времени;
• снижение доверия к SMS‑основанным 2FA и SIM‑привязке;
• усложнение задач безопасности: приложения остаются «чистыми», но их поведение контролирует злоумышленник;
• масштабирование атак — одна инфраструктура C2 может обслуживать множество атакованных устройств.

Рекомендации по снижению риска

Исходя из анализа, исследователи и эксперты по кибербезопасности предлагают комплексные меры для финансовых учреждений и разработчиков:

• внедрить Play Integrity API для строгой проверки целостности и подтверждения окружения приложения;
• интегрировать нативный код для критических проверок идентичности устройства и выполнять часть логики в Trusted Execution Environment (TEE) или с использованием Secure Enclave;
• отказаться от одиночной зависимости от SMS‑кодов и SIM‑привязки: применять transaction signing, out‑of‑band подтверждения и аппаратные токены/биометрию;
• внедрять модели обнаружения аномалий для поведения устройств и платежных транзакций (например, резкий рост операций, несоответствие геолокации и т.д.);
• ограничить и мониторить привилегии приложений, запрашивающих доступ к SMS и телеком‑функциям; применять runtime‑мониторинг и белые списки API;
• усилить контроль поставок приложений и пользоваться механизмами attestations для проверки подлинности клиента;
• повышать осведомлённость пользователей: не устанавливать APK из ненадёжных источников и осторожно относиться к разрешениям.

Что дальше и кому бить тревогу

Активность злоумышленника, известного под псевдонимом Berlin, и развитие инструментов наподобие Digital Lutera указывают на переход к более сложным многоуровневым атакам. Это требует от финансового сектора пересмотра архитектуры безопасности не только на уровне приложений, но и на уровне процессов аутентификации и клиентской телеметрии.

В ближайшей перспективе банки и платежные сервисы должны рассматривать такие атаки как системную угрозу и вкладывать ресурсы в:

• многофакторную аутентификацию, не завязанную на SMS;
• привязку транзакционных подписей к защищённым аппаратным элементам;
• скоринговые системы для онлайн‑транзакций с учётом поведения устройств и сетевой телеметрии.

Вывод

Случай с использованием LSPosed и Digital Lutera иллюстрирует новый класс угроз, в котором легитимные приложения используются против своих владельцев без видимых признаков компрометации кода. Это вынуждает отрасль перейти от декларативных проверок целостности к многоуровневой, контекстно‑осведомлённой защите финансовых взаимодействий. Пока технологические и организационные меры не будут адаптированы к тактикам современных атакующих, риск финансовых потерь и сложностей в расследовании инцидентов будет только расти.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.