Le spyware LianSpy est pass sous les radars pendant trois ans, espionnant les utilisateurs Android, enregistrant leurs activits et volant leurs donnes sensibles

de nouvelles applications malveillantes ont t install plus de 10 millions de fois depuis la plateforme, malware et adware continuent d'tre un problme majeur



LianSpy est un logiciel malveillant sophistiqu qui cible les utilisateurs dAndroid. Dcouvert en mars 2024, il est actif depuis au moins trois ans, remontant jusqu juillet 2021. Son objectif ? Espionner silencieusement les utilisateurs, enregistrer leurs activits et voler leurs donnes sensibles.

L’essor des smartphones a galement entran une augmentation du nombre de hackers qui, leur tour, crent des applications conues pour voler des donnes sensibles et espionner les activits quotidiennes des utilisateurs.

Les logiciels espions ont tendance tre slectifs dans le choix de leurs victimes, ciblant gnralement les membres d’une seule entreprise ou d’une certaine rgion. Le dernier logiciel espion mobile dcouvert, baptis LianSpy, cible les smartphones Android en Russie. Toutefois, ses mthodes peu orthodoxes de suivi des donnes des utilisateurs peuvent tre appliques dans d’autres rgions galement, ce qui signifie que tous les utilisateurs d’Android devraient potentiellement en prendre note.

LianSpy a t dcouvert en mars 2024, bien qu’il soit actif depuis bien plus longtemps, oprant dans l’ombre depuis au moins trois ans.

Contrairement d’autres logiciels espions, LianSpy ncessite une action de la part des utilisateurs pour se lancer et s’intgrer dans le tlphone de l’utilisateur. Lors du lancement, le logiciel malveillant vrifie s’il dispose des autorisations ncessaires pour utiliser les superpositions, lire les contacts et accder aux journaux d’appels. Si ce n’est pas le cas, le logiciel espion demandera l’autorisation l’utilisateur, en se dguisant en application systme et en application de services financiers.

Malgr son dguisement , LianSpy ne s’intresse pas aux donnes bancaires des utilisateurs. Il surveille plutt l’activit de l’utilisateur pendant qu’il utilise son appareil Android, en interceptant les journaux d’appels, en envoyant les applications installes vers ses propres serveurs et en enregistrant l’cran de l’utilisateur.

Citation Envoy par Kaspersky

Nous avons dcouvert LianSpy en mars 2024. Cependant, nos donnes indiquent qu’il est actif depuis au moins trois ans, c’est–dire depuis juillet 2021 ! Comment LianSpy est-il rest si longtemps dans l’ombre ? Les attaquants ont mticuleusement brouill les pistes. Ds son lancement, le logiciel malveillant cache son icne sur l’cran d’accueil et opre en arrire-plan en utilisant les privilges de l’utilisateur root. Cela lui permet de contourner les notifications de la barre d’tat d’Android, qui alerteraient gnralement la victime que le smartphone utilise activement l’appareil photo ou le microphone.

LianSpy se dguise en applications systme et en services financiers. Il est intressant de noter que les attaquants ne sont pas intresss par les donnes bancaires des victimes. Ce logiciel espion surveille silencieusement et discrtement l’activit de l’utilisateur en interceptant les journaux d’appels, en envoyant une liste des applications installes au serveur des attaquants et en enregistrant l’cran du smartphone – principalement pendant l’activit de la messagerie.

Le fonctionnement de LianSpy

Le logiciel malveillant LianSpy comprend un large ventail de fonctions puissantes et de mcanismes d’vasion pour se cacher sur un appareil sans tre dtect.

Kaspersky explique que lorsque le logiciel malveillant est install, il se prsente comme un service du systme Android ou comme l’application Alipay. Une fois lanc, LianSpy demande des autorisations pour la superposition d’cran, les notifications, les contacts, les journaux d’appels et les activits en arrire-plan, ou se les accorde automatiquement s’il s’excute en tant qu’application systme.

Ensuite, il s’assure qu’il ne s’excute pas dans l’environnement d’un analyste (aucun dbogueur n’est prsent) et charge sa configuration partir d’un rfrentiel Yandex Disk. La configuration est stocke localement dans SharedPreferences, ce qui lui permet de persister entre les redmarrages de l’appareil.

Elle dtermine les donnes cibler, les intervalles de temps pour la capture d’cran et l’exfiltration des donnes, ainsi que les applications pour lesquelles la capture d’cran doit tre dclenche l’aide de l’API de projection de mdias. WhatsApp, Chrome, Telegram, Facebook, Instagram, Gmail, Skype, Vkontakte, Snapchat et Discord sont parmi les nombreuses applications prises en charge pour la capture d’cran slective, ce qui minimise le risque de dtection.

Les donnes voles sont stockes sous forme crypte AES dans une table SQL ( Con001 ) avant d’tre exfiltres vers Yandex Disk, ce qui ncessite une cl RSA prive pour les lire, garantissant ainsi que seul le cybercriminel y a accs.

Le logiciel malveillant ne reoit pas de commandes ou de mises jour de la configuration, mais effectue des contrles de mise jour rgulirement (toutes les 30 secondes) pour obtenir de nouveaux paramtres de configuration. Ces paramtres sont stocks sous forme de sous-chanes dans les donnes de configuration, qui indiquent au logiciel malveillant quelles activits malveillantes doivent tre excutes sur l’appareil infect.

Contrairement d’autres logiciels espions qui exploitent des vulnrabilits de type zro clic , LianSpy exige certaines actions de la part de la victime. Au lancement, le logiciel malveillant vrifie s’il dispose des autorisations ncessaires pour lire les contacts et les journaux d’appels, et pour utiliser les superpositions. Si ce n’est pas le cas, il les demande. Cela fait, il enregistre un rcepteur de diffusion Android pour obtenir des informations sur les vnements du systme, ce qui lui permet de lancer ou d’arrter diverses tches malveillantes.

LianSpy utilise les privilges de l’utilisateur root d’une manire peu conventionnelle. En gnral, ils sont utiliss pour prendre le contrle complet de l’appareil. Cependant, dans le cas de LianSpy, les attaquants n’utilisent qu’une petite partie des fonctionnalits disponibles pour les superutilisateurs. Il est intressant de noter que les privilges de l’utilisateur root sont utiliss afin d’empcher leur dtection par les solutions de scurit.

LianSpy est un cheval de Troie post-exploitation, ce qui signifie que les attaquants ont soit exploit des vulnrabilits pour root les appareils Android, soit modifi le micrologiciel en obtenant un accs physique aux appareils des victimes. On ne sait toujours pas quelle vulnrabilit les attaquants ont pu exploiter dans le premier cas.

Dtails techniques

Une fois activ, le logiciel espion cache son icne et enregistre un rcepteur de diffusion intgr pour recevoir des intentions du systme. Ce rcepteur dclenche diverses activits malveillantes, telles que la capture d’cran via l’API de projection de mdias, la ralisation de captures d’cran en tant que root, l’exfiltration de donnes et la mise jour de sa configuration.


LianSpy enregistre un rcepteur de radiodiffusion malveillant

Pour mettre jour la configuration du logiciel espion, LianSpy recherche toutes les 30 secondes un fichier correspondant l’expression rgulire ^frame_.+\NPIG$ sur le disque Yandex d’un acteur malveillant. S’il est trouv, le fichier est tlcharg dans le rpertoire de donnes interne de l’application. Le logiciel espion dcrypte ensuite la superposition (donnes crites aprs la fin de la charge utile) dans le fichier tlcharg l’aide d’une cl AES code en dur. Enfin, l’outil de mise jour de la configuration recherche dans la charge utile dcrypte un ensemble de sous-chanes, chaque sous-chane modifiant la configuration de LianSpy. Une liste complte des options disponibles se trouve ci-dessous.

Comment Se Protger Contre LianSpy ?

Voici quelques mesures prendre pour prvenir une infection par LianSpy :

  • Mises Jour Rgulires : Assurez-vous que votre systme dexploitation Android est jour. Les correctifs de scurit sont essentiels pour contrer les menaces.
  • Sources Fiables : vitez de tlcharger des applications partir de sources non vrifies. Utilisez uniquement le Google Play Store ou des boutiques dapplications rputes.
  • Permissions dApplication : Soyez vigilant lorsquune application demande des autorisations excessives. Si cela semble suspect, dsinstallez lapplication.
  • Solutions de Scurit Mobile : Installez une application de scurit fiable qui peut dtecter et bloquer les menaces potentielles.

Sources : Kaspersky, SecureList

Et vous ?

Quelle est votre opinion sur la confidentialit des donnes sur les smartphones ? tes-vous conscients des risques potentiels lis lutilisation dapplications tierces et prenez-vous des mesures pour protger vos informations personnelles ?

Avez-vous dj vrifi les autorisations dune application avant de linstaller ? Partagez votre expriences et discutez de limportance de comprendre les autorisations demandes par les applications.

Pensez-vous que les privilges root devraient tre plus strictement contrls sur les appareils Android ? De faon plus gnrale, que pensez-vous de la scurit des systmes dexploitation mobiles et les compromis entre fonctionnalit et protection ?

Comment choisissez-vous vos sources dapplications ? Avez-vous des recommandations pour trouver des applications fiables et scurises ?

Avez-vous dj t victime dun logiciel espion ou dune application malveillante ? Les tmoignages personnels peuvent enrichir le dbat et sensibiliser davantage les lecteurs.

Quelles mesures devraient tre prises pour rguler ces applications ? Pensez aux politiques et aux lois qui pourraient limiter lutilisation abusive de ces outils.

Pensez-vous que les entreprises technologiques devraient faire plus pour dtecter et bloquer ces applications ? Discutez du rle des entreprises dans la prvention de lutilisation abusive de la technologie.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.