Comment détecter un logiciel espion comme flexispy, mspy, phonesherrif, ikeymonitor, thetruthspy etc.... ?

Comment détecter un logiciel espion comme flexispy, mspy, phonesherrif, ikeymonitor, thetruthspy etc… sur Android ?

Un blog datant de qq années signale que les anti-virus font un mauvais boulot pour détecter de tel logiciel.

J’ai trouvé un logiciel dédié “Anti Mouchard Portable Gratuit” https://play.google.com/store/apps/details?id=com.antispycell.free&hl=fr mais je doute un peu de son efficacité.

J’ai trouvé un site qui signalait de chercher un fichier ou un répertoire donné pour flexispy. Mais c’était pas exhaustif.

Y aurait -il un site qui répertorie les fichiers installés par un tel logiciel espion pour pouvoir les répérer manuellement en explorant la partition /system ou /data

J’ai essayé en utilisant mon raspberry pi comme point d’accès wifi et sniffer le traffic réseau de mon téléphone mais avec les connexion cryptées (https) c’est peine perdu. On n’obtiens qu’une liste d’IP, au mieux, un nom de domaine ce qui n’aide pas beaucoup pour savoir ce qui se passe.

Donc et sinon ?

FlexiSpy s’installe depuis un fichier nommé ‘FSXGAD_2.03.3.apk’ et un dossier cache nommé ‘bookmark_thumb1’ sur la carte SD est créé.

Avec ton raspberry meme si c’est https, la destination ne devrait pas être une de ces addresses :

180.150.144.84 api.flexispy.com
180.150.144.84 admin.flexispy.com
180.150.144.83 affiliate.flexispy.com
180.150.144.83 affiliates.flexispy.com
180.150.144.83 blog.flexispy.com
180.150.156.197 client.flexispy.com
180.150.144.82 community.flexispy.com
58.137.119.229 crm.flexispy.com
54.246.87.5 d.flexispy.com
216.166.17.139 demo.flexispy.com
180.150.144.86 direct.flexispy.com
180.150.144.85 ecom.flexispy.com
54.169.162.58 log.flexispy.com
180.150.147.111 login.flexispy.com
68.169.52.82 mail.flexispy.com
68.169.52.82 mailer.flexispy.com
180.150.144.86 mobile.flexispy.com
180.150.156.197 monitor.flexispy.com
180.150.144.87 portal.flexispy.com
68.169.52.82 smtp.flexispy.com
180.150.146.32 support.flexispy.com
75.101.157.123 test.flexispy.com
180.150.144.83 www.flexispy.com

détection de communication sur cette adresse = bonne chance d’être contaminé

De rien, ça fait plaisir.

Ok. merci c’est déjà un début comme info. Ce que tu dis en premier (FSXGAD_2.03.3.apk et bookmark_thumb1) c’est ce que j’avais trouvé sur un site web.

mais je sais pas si ça reste vrai pour les anciennes ou nouvelles versions.

mais merci oui

comment tu as trouvé les noms de domaine ?
Si je pouvais répéter ça pour d’autres soft pour scanner un peu plus large.
Tu supposes que le soft logue sur un domaine du site web du soft. Mais ils peuvent loguer alleurs, non ?

En effet cela a surement changé. Enfin au niveau de la version par forcement au niveau du dossier créé.

Google et un peu de bol.

Pour répeter cela de manière plus automatique, consisterai à :

• Avoir une machine virtuelle avec un état propre sans connexion Google Play, etc.
• Installer un logiciel espion ou virus
• Sur la machine tournant la VM, sniffer l’intégralité des paquets ou depuis le raspberry PI
• Traiter après ces adresse pour créée un blacklist des ces IPs
• Remettre la VM à zéro et recommancer avec un autre logiciel

C’est sûr qu’en achetant chaque soft je peux sniffer plus facilement leur activité. Mais bon ça va pas être donné.

Edit: Surtout que ma liste n’est pas exhaustive. je viens même d’en trouver de gratuit. Je ne sais pas ce qu’il vaut. Enfin bon celui là ne coûte rien c’est déjà ça…

Tu peux trouver les APK des applications payantes gratuitement si elles sont suffisamment populaires.

Pour voir ce qu’il se passe en HTTPS, tu devrais chercher “mitmproxy android raspberry pi” par exemple, ce qui donne par exemple Snifflab. Voir aussi hackapp.com qui est sensé le faire automatiquement en ligne (mes tests n’aboutissent pas).

Une autre manière de procéder peut être de décompiler les applications espionnes et de lire le code obtenu pour en extraire des noms de domaine par exemple. Voir aussi SUPER Android Analyzer qui pourrait peut-être automatiser cette tâche.

Je suis allé un peu loin que mon précédent essai avec mon AP sur mon rpi. En utilisant mitmdump (comme mitmproxy) cette fois.

Mais cette fois-ci, j’ai renconté un autre problème le ‘Certifcate Pinning’ qui fait que certaines applis refusent le certificat de mitmproxy. Donc ça marche mais pas tout le temps.

Reste à savoir si de telles app espionnes utilisent le ‘Certificate Pinning’.

Quant à récupérer les APK, ça demande du temps pour les rechercher. Et ça ne peut servir qu’à les décompiler (ce qui demande encore beaucoup de temps) car elles ne sont utilisables qu’avec l’abonnement qui va avec pour pouvoir accéder au serveur (de log)