Utilisateurs d'Android, méfiez-vous du logiciel espion mobile LianSpy

Des chercheurs en sécurité informatique ont découvert qu'un logiciel espion Android nommé LianSpy cible les utilisateurs en Russie depuis au moins 2021. Découvert en mars 2024, LianSpy utilise Yandex Cloud, un service cloud russe, pour les communications de commande et de contrôle (C2), évitant ainsi infrastructure dédiée et en améliorant ses capacités furtives.

Capacités et fonctionnalités clés

LianSpy est un logiciel espion très sophistiqué capable de capturer des captures d'écran, d'exfiltrer les fichiers utilisateur et de récolter des journaux d'appels et des listes d'applications. Selon le chercheur en sécurité Dmitry Kalinin, les fonctionnalités du logiciel espion s'étendent à :

• Enregistrement d'écran : capture de screencasts et de captures d'écran.
• Exfiltration de données : vol de fichiers utilisateur, de journaux d'appels et de listes d'applications.
• Déguisement d'application : se faisant passer pour des applications légitimes comme Alipay ou les services du système Android.
• Abus d'autorisation : demande d'autorisations étendues pour accéder aux contacts, aux journaux d'appels, aux notifications et dessiner des superpositions sur l'écran.

Distribution et persistance

Bien que la méthode de distribution exacte de LianSpy reste floue, Kaspersky suggère qu'il pourrait être déployé via une faille de sécurité inconnue ou un accès physique à l'appareil cible. Une fois activé, LianSpy détermine s'il s'exécute en tant qu'application système pour exploiter les privilèges d'administrateur ou demande un large éventail d'autorisations pour fonctionner secrètement.

Le malware vérifie également s'il s'exécute dans un environnement de débogage et configure une configuration persistante lors des redémarrages, masque son icône du lanceur et effectue diverses activités malveillantes telles que l'exfiltration de données et les mises à jour de configuration.

Techniques furtives avancées

LianSpy utilise plusieurs techniques avancées pour échapper à la détection et assurer sa persistance :

• Contournement des indicateurs de confidentialité : il contourne les indicateurs de confidentialité d'Android 12 qui affichent des icônes pour l'utilisation du microphone et de la caméra en modifiant le paramètre de configuration sécurisé Android icon_blacklist.
• Suppression des notifications : utilisation de NotificationListenerService pour traiter et supprimer les notifications de la barre d'état.
• Accès root : obtenir un accès root via un binaire su modifié nommé "mu", indiquant une livraison potentielle via un exploit inconnu ou un accès physique.

Commande et contrôle et cryptage des données

Les communications C2 de LianSpy sont unidirectionnelles, utilisant Yandex Disk pour transmettre des données volées et recevoir des commandes de configuration. Les données collectées sont cryptées et stockées dans une base de données SQL, seul l'acteur malveillant possédant la clé RSA nécessaire pour les déchiffrer.

Les mises à jour de configuration s'effectuent en recherchant des fichiers sur le disque Yandex de l'acteur malveillant toutes les 30 secondes, en les téléchargeant s'ils correspondent à une expression régulière spécifique. Les informations d'identification pour Yandex Disk sont mises à jour à partir d'une URL Pastebin codée en dur, variant selon les différentes variantes de logiciels malveillants.

LianSpy représente une menace importante dans le paysage évolutif des logiciels espions mobiles, exploitant des techniques sophistiquées pour maintenir la furtivité et la persistance. Sa capacité à contourner les fonctionnalités de confidentialité d'Android et à utiliser des services légitimes à des fins d'obscurcissement souligne le défi croissant que représente la défense contre des menaces aussi avancées. Rester vigilant et mettre à jour les mesures de sécurité sont essentiels pour se protéger contre ces cybermenaces secrètes.