{"id":1269494,"date":"2024-08-06T18:01:05","date_gmt":"2024-08-06T20:01:05","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-espion-android-lianspy-echappe-a-la-detection-grace-a-yandex-cloud\/"},"modified":"2024-08-06T18:01:09","modified_gmt":"2024-08-06T20:01:09","slug":"le-nouveau-logiciel-espion-android-lianspy-echappe-a-la-detection-grace-a-yandex-cloud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-espion-android-lianspy-echappe-a-la-detection-grace-a-yandex-cloud\/","title":{"rendered":"Le nouveau logiciel espion Android LianSpy \u00e9chappe \u00e0 la d\u00e9tection gr\u00e2ce \u00e0 Yandex Cloud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Android \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-nouveau-logiciel-espion-Android-LianSpy-echappe-a-la-detection.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les utilisateurs en Russie ont \u00e9t\u00e9 la cible d&#8217;un logiciel espion post-compromission Android jusqu&#8217;alors non document\u00e9 appel\u00e9 <strong>LianSpy<\/strong> depuis au moins 2021.<\/p>\n<p>Le fournisseur de cybers\u00e9curit\u00e9 Kaspersky, qui a d\u00e9couvert le malware en mars 2024, a not\u00e9 son utilisation de Yandex Cloud, un service cloud russe, pour les communications de commande et de contr\u00f4le (C2) comme moyen d&#8217;\u00e9viter d&#8217;avoir une infrastructure d\u00e9di\u00e9e et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>\u00ab Cette menace est \u00e9quip\u00e9e pour capturer des screencasts, exfiltrer des fichiers utilisateurs et r\u00e9colter des journaux d&#8217;appels et des listes d&#8217;applications \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Dmitry Kalinin. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/lianspy-android-spyware\/113253\/\" target=\"_blank\">dit<\/a> dans un nouveau rapport technique publi\u00e9 lundi.<\/p>\n<p>On ne sait pas encore exactement comment le logiciel espion est distribu\u00e9, mais l&#8217;entreprise russe a d\u00e9clar\u00e9 qu&#8217;il \u00e9tait probablement d\u00e9ploy\u00e9 via une faille de s\u00e9curit\u00e9 inconnue ou un acc\u00e8s physique direct au t\u00e9l\u00e9phone cibl\u00e9. Les applications contenant des logiciels malveillants se font passer pour Alipay ou un service syst\u00e8me Android.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722872960_626_Des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>LianSpy, une fois activ\u00e9, d\u00e9termine s&#8217;il s&#8217;ex\u00e9cute en tant qu&#8217;application syst\u00e8me pour fonctionner en arri\u00e8re-plan \u00e0 l&#8217;aide de privil\u00e8ges d&#8217;administrateur, ou bien demande un large \u00e9ventail d&#8217;autorisations qui lui permettent d&#8217;acc\u00e9der aux contacts, aux journaux d&#8217;appels et aux notifications, et de dessiner des superpositions au-dessus de l&#8217;\u00e9cran.<\/p>\n<p>Il v\u00e9rifie \u00e9galement s&#8217;il s&#8217;ex\u00e9cute dans un environnement de d\u00e9bogage pour configurer une configuration qui persiste apr\u00e8s les red\u00e9marrages, puis masque son ic\u00f4ne du lanceur et d\u00e9clenche des activit\u00e9s telles que la prise de captures d&#8217;\u00e9cran, l&#8217;exfiltration de donn\u00e9es et la mise \u00e0 jour de sa configuration pour sp\u00e9cifier les types d&#8217;informations qui doivent \u00eatre captur\u00e9es.<\/p>\n<p>Dans certaines variantes, cela incluait des options permettant de collecter des donn\u00e9es \u00e0 partir d&#8217;applications de messagerie instantan\u00e9e populaires en Russie, ainsi que d&#8217;autoriser ou d&#8217;interdire l&#8217;ex\u00e9cution du logiciel malveillant uniquement s&#8217;il est connect\u00e9 au Wi-Fi ou \u00e0 un r\u00e9seau mobile, entre autres.<\/p>\n<p>\u00ab Pour mettre \u00e0 jour la configuration du logiciel espion, LianSpy recherche un fichier correspondant \u00e0 l&#8217;expression r\u00e9guli\u00e8re \u00ab ^frame_.+\\.png$ \u00bb sur le disque Yandex d&#8217;un acteur malveillant toutes les 30 secondes \u00bb, a d\u00e9clar\u00e9 Kalinin. \u00ab S&#8217;il est trouv\u00e9, le fichier est t\u00e9l\u00e9charg\u00e9 dans le r\u00e9pertoire de donn\u00e9es interne de l&#8217;application. \u00bb<\/p>\n<p>Les donn\u00e9es r\u00e9colt\u00e9es sont stock\u00e9es sous forme crypt\u00e9e dans une table de base de donn\u00e9es SQL, sp\u00e9cifiant le type d&#8217;enregistrement et son hachage SHA-256, de sorte que seul un acteur malveillant en possession de la cl\u00e9 RSA priv\u00e9e correspondante puisse d\u00e9crypter les informations vol\u00e9es.<\/p>\n<p>L\u00e0 o\u00f9 LianSpy d\u00e9montre sa furtivit\u00e9, c&#8217;est dans sa capacit\u00e9 \u00e0 contourner les <a rel=\"nofollow noopener\" href=\"https:\/\/source.android.com\/docs\/core\/permissions\/privacy-indicators\" target=\"_blank\">indicateurs de confidentialit\u00e9<\/a> fonctionnalit\u00e9 introduite par Google dans Android 12, qui oblige les applications demandant des autorisations de microphone et d&#8217;appareil photo \u00e0 afficher une ic\u00f4ne de barre d&#8217;\u00e9tat. <\/p>\n<p>\u00ab Les d\u00e9veloppeurs de LianSpy ont r\u00e9ussi \u00e0 contourner cette protection en ajoutant une valeur cast au param\u00e8tre de configuration s\u00e9curis\u00e9e Android icon_blacklist, ce qui emp\u00eache les ic\u00f4nes de notification d&#8217;appara\u00eetre dans la barre d&#8217;\u00e9tat \u00bb, a soulign\u00e9 Kalinin.<\/p>\n<p>\u00ab LianSpy masque les notifications des services d&#8217;arri\u00e8re-plan qu&#8217;il appelle en exploitant le NotificationListenerService qui traite les notifications de la barre d&#8217;\u00e9tat et est capable de les supprimer. \u00bb<\/p>\n<p>Un autre aspect sophistiqu\u00e9 du logiciel malveillant implique l\u2019utilisation de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/jpacg\/su-binary\" target=\"_blank\">su binaire<\/a> avec un nom modifi\u00e9 \u00ab\u00a0mu\u00a0\u00bb pour obtenir un acc\u00e8s root, ce qui soul\u00e8ve la possibilit\u00e9 qu&#8217;il soit probablement d\u00e9livr\u00e9 via un exploit jusqu&#8217;alors inconnu ou un acc\u00e8s \u00e0 un appareil physique.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-publicites-Facebook-menent-a-de-faux-sites-Web-qui.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>L&#8217;accent mis par LianSpy sur la discr\u00e9tion est \u00e9galement mis en \u00e9vidence par le fait que les communications C2 sont unidirectionnelles, le malware ne recevant aucune commande entrante. Le service Yandex Disk est utilis\u00e9 \u00e0 la fois pour transmettre les donn\u00e9es vol\u00e9es et pour stocker les commandes de configuration.<\/p>\n<p>Les informations d&#8217;identification de Yandex Disk sont mises \u00e0 jour \u00e0 partir d&#8217;une URL Pastebin cod\u00e9e en dur, qui varie selon les variantes de malware. L&#8217;utilisation de services l\u00e9gitimes ajoute une couche d&#8217;obscurcissement, brouillant ainsi efficacement l&#8217;attribution.<\/p>\n<p>LianSpy est le dernier ajout \u00e0 une liste croissante d&#8217;outils d&#8217;espionnage, qui sont souvent livr\u00e9s aux appareils mobiles cibles &#8211; qu&#8217;ils soient Android ou iOS &#8211; en exploitant les failles zero-day.<\/p>\n<p>\u00ab Au-del\u00e0 des tactiques d&#8217;espionnage standard comme la collecte des journaux d&#8217;appels et des listes d&#8217;applications, il exploite les privil\u00e8ges root pour l&#8217;enregistrement d&#8217;\u00e9cran et l&#8217;\u00e9vasion secr\u00e8tes \u00bb, a d\u00e9clar\u00e9 Kalinin. \u00ab Son recours \u00e0 un binaire su renomm\u00e9 sugg\u00e8re fortement une infection secondaire suite \u00e0 une compromission initiale. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/new-android-spyware-lianspy-evades.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 ao\u00fbt 2024\ue804Ravie LakshmananAndroid \/ Logiciels malveillants Les utilisateurs en Russie ont \u00e9t\u00e9 la cible d&#8217;un logiciel espion post-compromission Android jusqu&#8217;alors non document\u00e9 appel\u00e9 LianSpy depuis au moins 2021. Le fournisseur de cybers\u00e9curit\u00e9 Kaspersky, qui a d\u00e9couvert le malware en mars 2024, a not\u00e9 son utilisation de Yandex Cloud, un service cloud russe, pour les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1269495,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,8738,22780,4168,4165,41161,13707,16034,2245,238584,245966,6816,200271,238334,98340,680,238617,4172,4169,4166,238583,38634],"class_list":["post-1269494","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-android","tag-cloud","tag-comment-pirater","tag-cyber-attaques","tag-detection","tag-echappe","tag-espion","tag-grace","tag-les-nouvelles-des-hackers","tag-lianspy","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouveau","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel","tag-yandex"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1269494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1269494"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1269494\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1269495"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1269494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1269494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1269494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}