Un malware Android précédemment non documenté nommé « LightSpy » a été découvert ciblant les utilisateurs russes, se présentant sur les téléphones comme une application Alipay ou un service système pour échapper à la détection.

L’analyse montre que LianSpy cible activement les utilisateurs d’Android depuis juillet 2021, mais ses vastes capacités de furtivité l’ont aidé à ne pas être détecté pendant plus de trois ans.

Les chercheurs de Kaspersky pensent que les auteurs de la menace utilisent soit une vulnérabilité zero-day, soit un accès physique pour infecter les appareils avec des logiciels malveillants. Le malware obtient des privilèges root sur l’appareil pour prendre des captures d’écran, voler des fichiers et récolter les journaux d’appels.

« LianSpy utilise le binaire su avec un nom modifié pour obtenir un accès root. Les échantillons de logiciels malveillants que nous avons analysés tentent de localiser un binaire mu dans les répertoires su par défaut », explique le rapport de Kaspersky.

« Cela indique un effort pour échapper à la détection de la racine sur l’appareil de la victime. L’acquisition de droits de superutilisateur avec une telle dépendance à l’égard d’un binaire modifié suggère que le logiciel espion a probablement été livré via un exploit ou un accès physique à un périphérique auparavant inconnu. »

Sa longue liste de fonctionnalités d’évasion comprend le contournement de la fonction de sécurité « Indicateurs de confidentialité » sur Android 12 et versions ultérieures, qui affiche un indicateur sur la barre d’état lorsqu’une application enregistre l’écran ou active la caméra ou le microphone.

Notification des indicateurs de confidentialité lorsque l’écran est enregistré

LianSpy contourne cette fonctionnalité en ajoutant une valeur « cast » au paramètre de réglage de la liste de blocage des icônes d’Android afin que les notifications de diffusion soient bloquées, laissant la victime inconsciente que son écran est en cours d’enregistrement.

L’opération LianSpy
Le malware LianSpy comprend un large éventail de fonctionnalités puissantes et de mécanismes d’évasion pour se cacher sur un appareil sans détection.

Kaspersky dit que lorsque le logiciel malveillant est installé, il sera publié en tant que service système Android ou application Alipay.

Une fois lancé, LianSpy demande une superposition d’écran, des notifications, des contacts, des journaux d’appels et des autorisations d’activité en arrière-plan ou se les accorde automatiquement s’il s’exécute en tant qu’application système.

Ensuite, il s’assure qu’il ne s’exécute pas sur l’environnement d’un analyste (aucun débogueur présent) et charge sa configuration à partir d’un référentiel de disques Yandex.

La configuration est stockée localement dans SharedPreferences, ce qui lui permet de persister entre les redémarrages de l’appareil.

Il détermine les données à cibler, les intervalles de temps de prise de capture d’écran et d’exfiltration des données, et pour les applications de déclencher la capture d’écran pour l’utilisation de l’API de projection multimédia.

FacebOok Instagramwhatsapp, Chrome, Telegram, Gmail, Skype, Vkontakte, Snapchat et Discord sont parmi les nombreux pris en charge pour la capture d’écran sélective, ce qui minimise le risque de détection.Instagram, Gmail, Skype, Vkontakte, Snapchat et Discord sont parmi les nombreux pris en charge pour la capture d’écran sélective, ce qui minimise le risque de détection.

Les données volées sont stockées sous forme cryptée AES dans une table SQL (‘Con001’) avant d’être exfiltrées sur le disque Yandex, nécessitant une clé RSA privée pour les lire, garantissant que seul l’auteur de la menace y a accès.

Le logiciel malveillant ne reçoit pas de commandes ni de mises à jour de configuration, mais effectue des vérifications de mise à jour régulièrement (toutes les 30 secondes) pour obtenir de nouveaux paramètres de configuration. Ces paramètres sont stockés sous forme de sous-chaînes dans les données de configuration, qui indiquent au logiciel malveillant quelles activités malveillantes doivent être effectuées sur le périphérique infecté.

Une liste des sous-chaînes vues par Kaspersky est répertoriée ci-dessous:

Sous-chaîne (nom de la commande)Descriptif
*con+Activer la collecte de listes de contacts
*con-Désactiver la collecte de la liste de contacts
*clg+Activer la collecte du journal des appels
*clg-Désactiver la collecte du journal des appels
*app+Activer la collecte de la liste des applications installées
*app-Désactiver la collecte de la liste des applications installées
*rsr+Planifier la prise de captures d’écran
*rsr-Arrêtez de prendre des captures d’écran
*nrs+Activer l’enregistrement d’écran
*nrs-Désactiver l’enregistrement d’écran
*swlDéfinir une nouvelle liste d’applications, stockée juste après la chaîne de commande, pour l’enregistrement d’écran
*wif+Autoriser l’exécution si l’appareil est connecté au Wi-Fi
*wif-Interdire l’exécution si l’appareil est connecté au WiFi uniquement
*mob+Autoriser l’exécution si l’appareil est connecté au réseau mobile
*mob-Interdire l’exécution si l’appareil est connecté au réseau mobile uniquement
*sciDéfinir l’intervalle de capture d’écran en millisecondes
*sbiDéfinir l’intervalle entre les tâches d’exfiltration de données en millisecondes

Une autre fonctionnalité de renforcement de la furtivité dans la longue liste de LianSpy est l’utilisation de « NotificationListenerService » pour supprimer les notifications avec des phrases clés telles que « utilisation de la batterie » ou « exécution en arrière-plan » de l’affichage.

Des phrases codées en dur sont incluses pour l’anglais et le russe, ce qui indique le groupe démographique cible.

Cependant, Kaspersky affirme que ses données de télémétrie montrent que les acteurs de la menace derrière Lanspy se concentrent actuellement sur des cibles russes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *