StrongPity хакерите ги таргетираат корисниците на Android преку тројанизираната Telegram апликација

Хакерската група StrongPity APT дистрибуира лажна апликација за разговор Shagle која е тројанизирана верзија на апликацијата Telegram за Android со додаден backdoor.

Shagle е легитимна платформа за видео разговор по случаен избор, која им овозможува на странците да разговараат преку шифриран комуникациски канал. Сепак, платформата е целосно базирана на веб, не нуди мобилна апликација.

StrongPity е пронајден со помош на лажна веб-страница од 2021 година, која ја претставува вистинската страница на Shagle за да ги измами жртвите да преземат злонамерен Android.

Откако ќе се инсталира, оваа апликација им овозможува на хакерите да вршат шпионажа врз целните жртви, вклучително и следење телефонски повици, собирање СМС текстови и грабање списоци со контакти.

StrongPity, исто така познат како Promethium или APT-C-41, претходно беше припишан на кампања која дистрибуираше тројанизирани Notepad++ инсталатери и малициозни верзии на WinRAR и TrueCrypt за да заразат цели со малициозен софтвер.

Најновата активност на StrongPity беше откриена од ESET истражувачите кои ја припишаа кампањата на шпионската група APT врз основа на сличностите на кодот со минатите payloads.

Дополнително, апликацијата за Android е потпишана со истиот сертификат што APT го користеше за потпишување на апликација што ја имитира сириската е-влада Android апликација во кампањата од 2021 година.

Злонамерната Android апликација дистрибуирана од StrongPity е APK-датотека наречена „video.apk“, стандардната апликација Telegram v7.5.0 (февруари 2022 г.), изменета да имитира Shagle мобилна апликација.

ESET не можеше да одреди како жртвите пристигнуваат на лажната веб-страница на Shagle, но тоа е веројатно преку spear phishing мејлови, smishing (SMS phishing) или инстант пораки на онлајн платформи.

Злонамерната APK е обезбедена директно од лажната страница Shagle и никогаш не била достапна на Google Play.

ESET изјави дека клонираниот сајт првпат се појавил на интернет во ноември 2021 година, така што APK најверојатно е под активна дистрибуција од тогаш. Сепак, првото потврдено откривање дојде во јули 2022 година.

Еден недостаток на користењето на Telegram како основа за лажната апликација на хакерската група е тоа што ако жртвата веќе ја има инсталирано вистинската апликација Telegram на своите телефони, backdoor верзијата нема да се инсталира.

Во моментов, API ID е ограничен поради прекумерна употреба, така што тројанизираната апликација повеќе нема да прифаќа нови регистрации на корисници; оттука, backdoor нема да работи.

ESET верува дека ова укажува дека StrongPity успешно го распоредил малициозниот софтвер на целните жртви.

По инсталацијата, малициозниот софтвер бара пристап до услугата за пристапност и потоа презема датотека шифрирана со AES од серверот за команди и контрола на напаѓачот.

Оваа датотека се состои од 11 бинарни модули извлечени на уредот и користени од backdoor за извршување на разни малициозни функционалности.

Секој модул врши шпионска функција и се активира по потреба. Целосната листа на модули за малициозни шпионски софтвер е наведена подолу:

libarm.jar – снима телефонски повици

libmpeg4.jar – собира текст од дојдовните пораки за известување од 17 апликации

local.jar – собира список на датотеки (дрво на датотеки) на уредот

phone.jar – ги злоупотребува услугите за пристапност за да ги шпионира апликациите за пораки преку ексфилтрација на името на контактот, пораката за разговор и датумот

resources.jar – собира СМС пораки зачувани на уредот

services.jar – ја добива локацијата на уредот

systemui.jar – собира информации за уредот и системот

timer.jar – собира список на инсталирани апликации

toolkit.jar – собира листа на контакти

watchkit.jar – собира список со сметки на уредот

wearkit.jar – собира листа на дневници за повици

Собраните податоци се складираат во директориумот на апликацијата, шифрирани со AES и на крајот се испраќаат назад до серверот за команда и контрола на напаѓачот.

Со злоупотреба на Услугата за пристапност, малициозен софтвер може да чита содржина за известување од Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и многу повеќе.
Во некои уреди каде што редовниот корисник има администраторски привилегии, малициозниот софтвер автоматски си дава дозвола да изврши промени во безбедносните поставки, да пишува на датотечниот систем, да врши рестартирање и други опасни функции.

Хакерската група StrongPity е активна од 2012 година, најчесто криејќи ги backdoors во легитимните инсталатери на софтвер. Врз основа на извештајот на ESET, хакерот продолжува да ја користи истата тактика по една деценија.

Корисниците на Android треба да бидат внимателни со APK изворите надвор од Google Play и да обрнат внимание на барањата за дозвола додека инсталираат нови апликации.

Извор: BleepingComputer

Check Also

Android апликации со spyware инсталирани 421 милион пати од Google Play

Нов Android малвер дистрибуиран како SDK реклама е откриен во повеќе апликации, многумина претходно на …