La découverte d’un spyware Android lié au FSB dévoile des méthodes de surveillance avancées, incluant géolocalisation, interception de communications et extraction de données sensibles. Camouflé derrière une application populaire, ce logiciel malveillant illustre des pratiques et une progression inquiétante des cyber-outils de surveillance… russe mais probablement, en réalité, plus internationale.
Une analyse conjointe du Citizen Lab et de l’organisation First Department vient de mettre en évidence l’existence d’un nouveau logiciel espion pour smartphone qui semble être largement utilisé par les services de sécurité russes (FSB). Cette découverte fait en effet suite à la détention d’un programmeur russe, Kirill Parubets, accusé d’avoir effectué des transferts d’argent vers l’Ukraine et qui a été depuis relâché par les services secrets russes. Bien évidemment, ces derniers lui avaient préalablement confisqué son smartphone avant de le lui rendre à sa sortie avec une petite surprise planquée au cœur du système.
Car les agents du FSB ont bien profité de l’occasion pour insérer un logiciel espion comme le programmeur arrêté le soupçonnait.
L’analyse forensique du logiciel malveillant révèle une architecture en deux étages, assez élaborée. Le malware se dissimule derrière une version compromise de l’application légitime « Cube Call Recorder », présente sur le Google Play Store. La charge utile malveillante est chiffrée et déployée via un processus sophistiqué qui complique sa détection.
Les capacités de surveillance de ce spyware sont des plus complètes : Géolocalisation en continu, Interception des communications (SMS, appels), Capture d’écran et enregistrement vidéo, Keylogging et extraction de mots de passe, Accès aux applications de messagerie chiffrée, Installation de paquets additionnels, Exécution à distance de commandes système…
Un malware déjà croisé sous une autre version
La charge malveillante présente bien des similitudes avec Monokle, un spyware découvert en 2019 et attribué au Special Technology Center de Saint-Pétersbourg. L’infrastructure de commande et contrôle utilise des commandes identiques, avec le même préfixe « BaseSystemCommand ».
Mais des améliorations significatives ont été apportées à cette version à commencer par un chiffrement renforcé et des droits d’accès plus étendus.
Au passage, les chercheurs du Citizen Lab ont trouvé dans le code du malware des références à une probable version iOS laissant supposer que le FSB a également développé son spyware pour les smartphones Apple.
Cette découverte illustre l’évolution des tactiques du FSB en matière de surveillance ciblée. L’exploitation de la détention physique pour compromettre les appareils constitue une approche particulièrement efficace, contournant les défis techniques d’une infection à distance.
Les chercheurs en cybersécurité y voient comme une piqure de rappel : ils recommandent aux personnes dont les appareils ont été confisqués par des services de sécurité de ne plus les utiliser sans une analyse forensique approfondie. Cette affaire souligne également l’importance d’adopter des mesures préventives, comme l’utilisation d’appareils temporaires lors de déplacements à risque.