Les utilisateurs en Russie ont été la cible d’un logiciel espion post-compromission Android jusqu’alors non documenté appelé LianSpy depuis au moins 2021.
Le fournisseur de cybersécurité Kaspersky, qui a découvert le malware en mars 2024, a noté son utilisation de Yandex Cloud, un service cloud russe, pour les communications de commande et de contrôle (C2) comme moyen d’éviter d’avoir une infrastructure dédiée et d’échapper à la détection.
« Cette menace est équipée pour capturer des screencasts, exfiltrer des fichiers utilisateurs et récolter des journaux d’appels et des listes d’applications », a déclaré le chercheur en sécurité Dmitry Kalinin. dit dans un nouveau rapport technique publié lundi.
On ne sait pas encore exactement comment le logiciel espion est distribué, mais l’entreprise russe a déclaré qu’il était probablement déployé via une faille de sécurité inconnue ou un accès physique direct au téléphone ciblé. Les applications contenant des logiciels malveillants se font passer pour Alipay ou un service système Android.
LianSpy, une fois activé, détermine s’il s’exécute en tant qu’application système pour fonctionner en arrière-plan à l’aide de privilèges d’administrateur, ou bien demande un large éventail d’autorisations qui lui permettent d’accéder aux contacts, aux journaux d’appels et aux notifications, et de dessiner des superpositions au-dessus de l’écran.
Il vérifie également s’il s’exécute dans un environnement de débogage pour configurer une configuration qui persiste après les redémarrages, puis masque son icône du lanceur et déclenche des activités telles que la prise de captures d’écran, l’exfiltration de données et la mise à jour de sa configuration pour spécifier les types d’informations qui doivent être capturées.
Dans certaines variantes, cela incluait des options permettant de collecter des données à partir d’applications de messagerie instantanée populaires en Russie, ainsi que d’autoriser ou d’interdire l’exécution du logiciel malveillant uniquement s’il est connecté au Wi-Fi ou à un réseau mobile, entre autres.
« Pour mettre à jour la configuration du logiciel espion, LianSpy recherche un fichier correspondant à l’expression régulière « ^frame_.+\.png$ » sur le disque Yandex d’un acteur malveillant toutes les 30 secondes », a déclaré Kalinin. « S’il est trouvé, le fichier est téléchargé dans le répertoire de données interne de l’application. »
Les données récoltées sont stockées sous forme cryptée dans une table de base de données SQL, spécifiant le type d’enregistrement et son hachage SHA-256, de sorte que seul un acteur malveillant en possession de la clé RSA privée correspondante puisse décrypter les informations volées.
Là où LianSpy démontre sa furtivité, c’est dans sa capacité à contourner les indicateurs de confidentialité fonctionnalité introduite par Google dans Android 12, qui oblige les applications demandant des autorisations de microphone et d’appareil photo à afficher une icône de barre d’état.
« Les développeurs de LianSpy ont réussi à contourner cette protection en ajoutant une valeur cast au paramètre de configuration sécurisée Android icon_blacklist, ce qui empêche les icônes de notification d’apparaître dans la barre d’état », a souligné Kalinin.
« LianSpy masque les notifications des services d’arrière-plan qu’il appelle en exploitant le NotificationListenerService qui traite les notifications de la barre d’état et est capable de les supprimer. »
Un autre aspect sophistiqué du logiciel malveillant implique l’utilisation de su binaire avec un nom modifié « mu » pour obtenir un accès root, ce qui soulève la possibilité qu’il soit probablement délivré via un exploit jusqu’alors inconnu ou un accès à un appareil physique.
L’accent mis par LianSpy sur la discrétion est également mis en évidence par le fait que les communications C2 sont unidirectionnelles, le malware ne recevant aucune commande entrante. Le service Yandex Disk est utilisé à la fois pour transmettre les données volées et pour stocker les commandes de configuration.
Les informations d’identification de Yandex Disk sont mises à jour à partir d’une URL Pastebin codée en dur, qui varie selon les variantes de malware. L’utilisation de services légitimes ajoute une couche d’obscurcissement, brouillant ainsi efficacement l’attribution.
LianSpy est le dernier ajout à une liste croissante d’outils d’espionnage, qui sont souvent livrés aux appareils mobiles cibles – qu’ils soient Android ou iOS – en exploitant les failles zero-day.
« Au-delà des tactiques d’espionnage standard comme la collecte des journaux d’appels et des listes d’applications, il exploite les privilèges root pour l’enregistrement d’écran et l’évasion secrètes », a déclaré Kalinin. « Son recours à un binaire su renommé suggère fortement une infection secondaire suite à une compromission initiale. »