Logiciel espion mobile LianSpy
Depuis au moins 2021, les utilisateurs en Russie ont été ciblés par un logiciel espion post-compromis sur Android, jusqu'alors non documenté, connu sous le nom de LianSpy. Les chercheurs en cybersécurité ont découvert ce malware en mars 2024. Les experts ont souligné son utilisation du Yandex Cloud, un service cloud russe, pour les communications de commande et de contrôle (C2), lui permettant d'éviter une infrastructure dédiée et d'échapper à la détection. LianSpy est capable de capturer des screencasts, d'exfiltrer des fichiers utilisateur et de récolter des journaux d'appels et des listes d'applications.
La méthode de distribution de ce logiciel espion reste floue, mais les chercheurs suggèrent qu'il est probablement déployé soit via une faille de sécurité inconnue, soit par un accès physique direct au téléphone cible. Les applications contenant des logiciels malveillants sont déguisées en Alipay ou en un service système Android.
Table des matières
Comment fonctionne le logiciel espion LianSpy ?
Une fois activé, LianSpy détermine s'il s'exécute en tant qu'application système pour fonctionner en arrière-plan avec des privilèges d'administrateur. Sinon, il demande un large éventail d'autorisations pour accéder aux contacts, aux journaux d'appels, aux notifications et dessiner des superpositions sur l'écran.
Le logiciel espion vérifie également s'il s'exécute dans un environnement de débogage pour configurer une configuration qui persiste lors des redémarrages. Il cache ensuite son icône au lanceur et déclenche des activités, comme la prise de captures d'écran, l'exfiltration de données et la mise à jour de sa configuration pour préciser les types d'informations à capturer.
Dans certaines variantes, LianSpy inclut des options permettant de collecter des données à partir d'applications de messagerie instantanée populaires en Russie et de contrôler si le malware s'exécute uniquement lorsqu'il est connecté au Wi-Fi ou à un réseau mobile, entre autres paramètres.
Pour mettre à jour sa configuration, LianSpy recherche toutes les 30 secondes un fichier sur le disque Yandex d'un acteur menaçant qui correspond à l'expression régulière « ^frame_.+.png$ ». S'il est trouvé, le fichier est téléchargé dans le répertoire de données interne de l'application.
Les capacités furtives du logiciel espion LianSpy
Les données récoltées sont cryptées et stockées dans une table de base de données SQL, qui enregistre le type de données et leur hachage SHA-256. Seul un acteur malveillant disposant de la clé RSA privée correspondante peut déchiffrer ces informations volées.
LianSpy démontre sa furtivité en contournant la fonctionnalité d'indicateurs de confidentialité introduite dans Android 12, qui oblige les applications demandant des autorisations de microphone et de caméra à afficher une icône dans la barre d'état.
Les développeurs de LianSpy ont réussi à contourner cette protection en ajoutant une valeur cast au paramètre de configuration sécurisé Android « icon_blacklist », qui empêche les icônes de notification d'apparaître dans la barre d'état. De plus, LianSpy masque les notifications des services d'arrière-plan qu'il appelle en utilisant « NotificationListenerService » pour traiter et supprimer les notifications de la barre d'état.
Les acteurs malveillants exploitent de plus en plus les services légitimes
Une fonctionnalité sophistiquée de LianSpy consiste à utiliser le binaire « su », renommé « mu », pour obtenir un accès root. Cela indique que le malware est probablement transmis via un exploit inconnu ou un accès physique à l'appareil.
LianSpy met également l'accent sur la furtivité en mettant en œuvre des communications de commande et de contrôle (C2) unidirectionnelles, ce qui signifie que le logiciel malveillant ne reçoit pas de commandes entrantes. Il utilise Yandex Disk à la fois pour transmettre les données collectées et pour stocker les commandes de configuration.
Les informations d'identification de Yandex Disk sont mises à jour via une URL Pastebin codée en dur, qui varie selon les variantes de malware. L'utilisation de services légitimes ajoute une couche supplémentaire d'obscurcissement, ce qui complique l'attribution.
Dernier né d'une gamme croissante d'outils d'espionnage, LianSpy cible les appareils mobiles, Android et iOS, en exploitant les vulnérabilités zero-day. En plus des tactiques d'espionnage standard telles que la collecte des journaux d'appels et des listes d'applications, il utilise les privilèges root pour l'enregistrement d'écran et l'évasion secrète. L'utilisation d'un binaire renommé « su » suggère qu'il peut s'agir d'une infection secondaire suite à une compromission initiale.
