LianSpy est un logiciel malveillant sophistiqué qui cible les utilisateurs d’Android. Découvert en mars 2024, il est actif depuis au moins trois ans, remontant jusqu’à juillet 2021. Son objectif ? Espionner silencieusement les utilisateurs, enregistrer leurs activités et voler leurs données sensibles.L'essor des smartphones a également entraîné une augmentation du nombre de hackers qui, à leur tour, créent des applications conçues pour voler des données sensibles et espionner les activités quotidiennes des utilisateurs.
Les logiciels espions ont tendance à être sélectifs dans le choix de leurs victimes, ciblant généralement les membres d'une seule entreprise ou d'une certaine région. Le dernier logiciel espion mobile découvert, baptisé LianSpy, cible les smartphones Android en Russie. Toutefois, ses méthodes peu orthodoxes de suivi des données des utilisateurs peuvent être appliquées dans d'autres régions également, ce qui signifie que tous les utilisateurs d'Android devraient potentiellement en prendre note.
LianSpy a été découvert en mars 2024, bien qu'il soit actif depuis bien plus longtemps, opérant dans l'ombre depuis au moins trois ans.
Contrairement à d'autres logiciels espions, LianSpy nécessite une action de la part des utilisateurs pour se lancer et s'intégrer dans le téléphone de l'utilisateur. Lors du lancement, le logiciel malveillant vérifie s'il dispose des « autorisations » nécessaires pour utiliser les superpositions, lire les contacts et accéder aux journaux d'appels. Si ce n'est pas le cas, le logiciel espion « demandera » l'autorisation à l'utilisateur, en se déguisant en application système et en application de services financiers.
Malgré son « déguisement », LianSpy ne s'intéresse pas aux données bancaires des utilisateurs. Il surveille plutôt l'activité de l'utilisateur pendant qu'il utilise son appareil Android, en interceptant les journaux d'appels, en envoyant les applications installées vers ses propres serveurs et en enregistrant l'écran de l'utilisateur.
Envoyé par Kaspersky
Nous avons découvert LianSpy en mars 2024. Cependant, nos données indiquent qu'il est actif depuis au moins trois ans, c'est-à-dire depuis juillet 2021 ! Comment LianSpy est-il resté si longtemps dans l'ombre ? Les attaquants ont méticuleusement brouillé les pistes. Dès son lancement, le logiciel malveillant cache son icône sur l'écran d'accueil et opère en arrière-plan en utilisant les privilèges de l'utilisateur root. Cela lui permet de contourner les notifications de la barre d'état d'Android, qui alerteraient généralement la victime que le smartphone utilise activement l'appareil photo ou le microphone.
LianSpy se déguise en applications système et en services financiers. Il est intéressant de noter que les attaquants ne sont pas intéressés par les données bancaires des victimes. Ce logiciel espion surveille silencieusement et discrètement l'activité de l'utilisateur en interceptant les journaux d'appels, en envoyant une liste des applications installées au serveur des attaquants et en enregistrant l'écran du smartphone - principalement pendant l'activité de la messagerie.
LianSpy se déguise en applications système et en services financiers. Il est intéressant de noter que les attaquants ne sont pas intéressés par les données bancaires des victimes. Ce logiciel espion surveille silencieusement et discrètement l'activité de l'utilisateur en interceptant les journaux d'appels, en envoyant une liste des applications installées au serveur des attaquants et en enregistrant l'écran du smartphone - principalement pendant l'activité de la messagerie.
Le logiciel malveillant LianSpy comprend un large éventail de fonctions puissantes et de mécanismes d'évasion pour se cacher sur un appareil sans être détecté.
Kaspersky explique que lorsque le logiciel malveillant est installé, il se présente comme un service du système Android ou comme l'application Alipay. Une fois lancé, LianSpy demande des autorisations pour la superposition d'écran, les notifications, les contacts, les journaux d'appels et les activités en arrière-plan, ou se les accorde automatiquement s'il s'exécute en tant qu'application système.
Ensuite, il s'assure qu'il ne s'exécute pas dans l'environnement d'un analyste (aucun débogueur n'est présent) et charge sa configuration à partir d'un référentiel Yandex Disk. La configuration est stockée localement dans SharedPreferences, ce qui lui permet de persister entre les redémarrages de l'appareil.
Elle détermine les données à cibler, les intervalles de temps pour la capture d'écran et l'exfiltration des données, ainsi que les applications pour lesquelles la capture d'écran doit être déclenchée à l'aide de l'API de projection de médias. WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat et Discord sont parmi les nombreuses applications prises en charge pour la capture d'écran sélective, ce qui minimise le risque de détection.
Les données volées sont stockées sous forme cryptée AES dans une table SQL (« Con001 ») avant d'être exfiltrées vers Yandex Disk, ce qui nécessite une clé RSA privée pour les lire, garantissant ainsi que seul le cybercriminel y a accès.
Le logiciel malveillant ne reçoit pas de commandes ou de mises à jour de la configuration, mais effectue des contrôles de mise à jour régulièrement (toutes les 30 secondes) pour obtenir de nouveaux paramètres de configuration. Ces paramètres sont stockés sous forme de sous-chaînes dans les données de configuration, qui indiquent au logiciel malveillant quelles activités malveillantes doivent être exécutées sur l'appareil infecté.
Contrairement à d'autres logiciels espions qui exploitent des vulnérabilités de type « zéro clic », LianSpy exige certaines actions de la part de la victime. Au lancement, le logiciel malveillant vérifie s'il dispose des autorisations nécessaires pour lire les contacts et les journaux d'appels, et pour utiliser les superpositions. Si ce n'est pas le cas, il les demande. Cela fait, il enregistre un récepteur de diffusion Android pour obtenir des informations sur les événements du système, ce qui lui permet de lancer ou d'arrêter diverses tâches malveillantes.
LianSpy utilise les privilèges de l'utilisateur root d'une manière peu conventionnelle. En général, ils sont utilisés pour prendre le contrôle complet de l'appareil. Cependant, dans le cas de LianSpy, les attaquants n'utilisent qu'une petite partie des fonctionnalités disponibles pour les superutilisateurs. Il est intéressant de noter que les privilèges de l'utilisateur root sont utilisés afin d'empêcher leur détection par les solutions de sécurité.
LianSpy est un cheval de Troie post-exploitation, ce qui signifie que les attaquants ont soit exploité des vulnérabilités pour rooté les appareils Android, soit modifié le micrologiciel en obtenant un accès physique aux appareils des victimes. On ne sait toujours pas quelle vulnérabilité les attaquants ont pu exploiter dans le premier cas.
LianSpy utilise les privilèges de l'utilisateur root d'une manière peu conventionnelle. En général, ils sont utilisés pour prendre le contrôle complet de l'appareil. Cependant, dans le cas de LianSpy, les attaquants n'utilisent qu'une petite partie des fonctionnalités disponibles pour les superutilisateurs. Il est intéressant de noter que les privilèges de l'utilisateur root sont utilisés afin d'empêcher leur détection par les solutions de sécurité.
LianSpy est un cheval de Troie post-exploitation, ce qui signifie que les attaquants ont soit exploité des vulnérabilités pour rooté les appareils Android, soit modifié le micrologiciel en obtenant un accès physique aux appareils des victimes. On ne sait toujours pas quelle vulnérabilité les attaquants ont pu exploiter dans le premier cas.
Une fois activé, le logiciel espion cache son icône et enregistre un récepteur de diffusion intégré pour recevoir des intentions du système. Ce récepteur déclenche diverses activités malveillantes, telles que la capture d'écran via l'API de projection de médias, la réalisation de captures d'écran en tant que root, l'exfiltration de données et la mise à jour de sa configuration.
LianSpy enregistre un récepteur de radiodiffusion malveillant
Pour mettre à jour la configuration du logiciel espion, LianSpy recherche toutes les 30 secondes un fichier correspondant à l'expression régulière ^frame_.+\NPIG$ sur le disque Yandex d'un acteur malveillant. S'il est trouvé, le fichier est téléchargé dans le répertoire de données interne de l'application. Le logiciel espion décrypte ensuite la superposition (données écrites après la fin de la charge utile) dans le fichier téléchargé à l'aide d'une clé AES codée en dur. Enfin, l'outil de mise à jour de la configuration recherche dans la charge utile décryptée un ensemble de sous-chaînes, chaque sous-chaîne modifiant la configuration de LianSpy. Une liste complète des options disponibles se trouve ci-dessous.
Comment Se Protéger Contre LianSpy ?
Voici quelques mesures à prendre pour prévenir une infection par LianSpy :
- Mises à Jour Régulières : Assurez-vous que votre système d’exploitation Android est à jour. Les correctifs de sécurité sont essentiels pour contrer les menaces.
- Sources Fiables : Évitez de télécharger des applications à partir de sources non vérifiées. Utilisez uniquement le Google Play Store ou des boutiques d’applications réputées.
- Permissions d’Application : Soyez vigilant lorsqu’une application demande des autorisations excessives. Si cela semble suspect, désinstallez l’application.
- Solutions de Sécurité Mobile : Installez une application de sécurité fiable qui peut détecter et bloquer les menaces potentielles.
Sources : Kaspersky, SecureList
Et vous ?
Quelle est votre opinion sur la confidentialité des données sur les smartphones ? Êtes-vous conscients des risques potentiels liés à l’utilisation d’applications tierces et prenez-vous des mesures pour protéger vos informations personnelles ? Avez-vous déjà vérifié les autorisations d’une application avant de l’installer ? Partagez votre expériences et discutez de l’importance de comprendre les autorisations demandées par les applications. Pensez-vous que les privilèges root devraient être plus strictement contrôlés sur les appareils Android ? De façon plus générale, que pensez-vous de la sécurité des systèmes d’exploitation mobiles et les compromis entre fonctionnalité et protection ? Comment choisissez-vous vos sources d’applications ? Avez-vous des recommandations pour trouver des applications fiables et sécurisées ? Avez-vous déjà été victime d’un logiciel espion ou d’une application malveillante ? Les témoignages personnels peuvent enrichir le débat et sensibiliser davantage les lecteurs. Quelles mesures devraient être prises pour réguler ces applications ? Pensez aux politiques et aux lois qui pourraient limiter l’utilisation abusive de ces outils. Pensez-vous que les entreprises technologiques devraient faire plus pour détecter et bloquer ces applications ? Discutez du rôle des entreprises dans la prévention de l’utilisation abusive de la technologie.