StrongPity, hacker distribuiscono app Telegram troianizzata
StrongPity, il gruppo di minacce persistenti avanzate, ha preso di mira gli utenti Android con una versione troianizzata dell’app Telegram.
La minaccia avviene tramite un sito web falso, che impersona un servizio di videochat chiamato Shagle.
StrongPity colpisce gli utenti Android
Riportiamo la dichiarazione di Lukáš Štefanko, ricercatore malware di ESET, in una relazione tecnica:
Un sito web emulatore, che imita il servizio Shagle, viene utilizzato per distribuire l’app backdoor mobile di StrongPity. L’applicazione è una versione modificata dell’applicazione open source Telegram, riconfezionata con il codice della backdoor StrongPity.
StrongPity, noto anche con i nomi APT-C-41 e Promethium, è un gruppo di cyber-spionaggio, attivo almeno dal 2012, con la maggior parte delle sue operazioni concentrate in Siria e Turchia. L’esistenza del gruppo è stata segnalata pubblicamente da Kaspersky per la prima volta nell’ottobre 2016.
Da allora le campagne dell’attore delle minacce si sono espanse fino a comprendere altri obiettivi in Africa, Asia, Europa e Nord America. Le intrusioni sfruttano attacchi watering hole e messaggi di phishing per attivare la killchain.
Una delle caratteristiche principali di StrongPity è l’uso di siti web contraffatti, che dichiarano di offrire un’ampia varietà di strumenti software, solo per ingannare le vittime e far scaricare versioni contaminate di applicazioni legittime.
Nel dicembre del 2021, Minerva Labs ha rivelato una sequenza di attacco in tre fasi, che parte dall’esecuzione di un file di setup di Notepad++, apparentemente benigno, per arrivare a fornire una backdoor agli host infetti. Nello stesso anno, StrongPity è stato osservato mentre distribuiva per la prima volta un malware Android, forse penetrando nel portale dell’e-government siriano e sostituendo il file APK ufficiale di Android con una controparte illegale.
Le campagne di StrongPity
Le ultime scoperte di ESET mettono in evidenza un modus operandi simile, progettato per distribuire una versione aggiornata del payload della backdoor Android, che è in grado di:
- registrare le telefonate;
- tracciare la posizione del dispositivo;
- raccogliere messaggi SMS, registri delle chiamate, elenchi di contatti e file.
Inoltre, concedere al malware le autorizzazioni per i servizi di accessibilità gli consente di trafugare notifiche e messaggi in arrivo da varie app come Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber e WeChat.
La società slovacca di cybersicurezza ha descritto l’impianto come modulare e in grado di scaricare componenti aggiuntivi da un server di comando e controllo (C2) remoto, in modo da adattarsi agli obiettivi in evoluzione delle campagne di StrongPity.
La funzionalità backdoor è nascosta all’interno di una versione legittima dell’app Android di Telegram, disponibile per il download intorno al 25 febbraio 2022.
Il sito web fasullo di Shagle non è più attivo, ma sembra che l’attività sia “molto mirata” a causa della mancanza di dati di telemetria.
La versione fraudolenta dell’app Telegram
Non ci sono prove che l’app (“video.apk”) sia stata pubblicata sul Google Play Store ufficiale. Al momento, non è noto come le potenziali vittime siano state attirate sul sito web falso. Probabilmente sfruttando tecniche di social engineering, avvelenamento dei motori di ricerca o annunci fraudolenti.
Štefanko ha sottolineato che il dominio dannoso è stato registrato lo stesso giorno. Quindi “il sito imitativo e la falsa app Shagle potrebbero essere disponibili per il download da quella data”.
Un altro aspetto degno di nota dell’attacco è che la versione manomessa di Telegram utilizza lo stesso nome di pacchetto dell’app Telegram autentica. Pertanto, la variante backdoored non può essere installata su un dispositivo in cui è già installato Telegram.
Štefanko si è espresso così sulla questione:
Questo potrebbe significare una delle due cose: o l’attore della minaccia comunica prima con le potenziali vittime e le spinge a disinstallare Telegram dai loro dispositivi se è installato, oppure la campagna si concentra su Paesi in cui l’uso di Telegram è raro per la comunicazione.
