Il gruppo di hacker StrongPity APT sta diffondendo una falsa app di chat Shagle, ossia una versione trojanizzata dell’app Telegram per Android con una backdoor aggiunta.
Shagle è una piattaforma di chat video casuale che consente agli estranei di parlare tramite un canale di comunicazione crittografato. Tuttavia, la piattaforma è interamente basata sul Web e non offre un’app mobile. StrongPity è stato trovato utilizzando un sito Web falso, che, dal 2021, che finge di essere Shagle per indurre le vittime a scaricare un app fake Telegram dannosa per i dispositivi Android.
StrongPity: spionaggio mediante app fake di Telegram
Spionaggio mediante un app falsa di Telegram. Questo è ciò che viene messo in atto dal gruppo di hacker StrongPity. Una volta installata, questa app consente agli hacker di condurre lo spionaggio su vittime mirate, incluso il monitoraggio delle telefonate, la raccolta di SMS e l’acquisizione di elenchi di contatti.
StrongPity, noto anche come Promethium o APT-C-41, era stato precedentemente attribuito a una campagna che distribuiva programmi di installazione di Notepad++ trojanizzati e versioni dannose di WinRAR e TrueCrypt per infettare gli obiettivi con malware.
L’ultima attività di StrongPity è stata scoperta dai ricercatori ESET che hanno attribuito la campagna al gruppo di spionaggio APT sulla base di somiglianze di codice con payload passati.
Inoltre, l’app Android è firmata con lo stesso certificato utilizzato dall’APT per firmare un’app che imitava l’applicazione Android e-gov siriana in una campagna del 2021.
Trojan dell’app Android Telegram
L’applicazione Android dannosa distribuita da StrongPity è un file APK denominato “video.apk“, l’app standard di Telegram v7.5.0 (febbraio 2022) modificata per fingersi un’app mobile Shagle.
ESET non è stata in grado di determinare in che modo le vittime arrivano sul falso sito Web di Shagle, ma è probabile che ciò avvenga tramite e-mail di spear phishing, smishing (SMS phishing) o messaggi istantanei su piattaforme online.
L’APK dannoso viene fornito direttamente dal falso sito Shagle e non è mai stato reso disponibile su Google Play.
ESET afferma che il sito clonato è apparso – per la prima volta online – nel novembre 2021, quindi l’APK è stato, probabilmente, distribuito attivamente da allora. Tuttavia, il primo rilevamento confermato è avvenuto nel luglio 2022.
Uno svantaggio dell’utilizzo di Telegram come base per l’app falsa del gruppo di hacker è che se la vittima ha già la vera app di Telegram installata sui propri telefoni, la versione backdoor, dunque, non verrà installata.
Backdoor progettato per spiare le vittime
Al momento dell’installazione, il malware richiede l’accesso al servizio di accessibilità e quindi recupera un file crittografato con AES dal server di comando e controllo dell’aggressore.
Questo file è composto da 11 moduli binari estratti nel dispositivo e utilizzati dalla backdoor per eseguire varie funzionalità dannose:
Recupero di 11 moduli dal C2
Gli 11 moduli recuperati da C2
Fonte: ESET
Ogni modulo svolge una funzione di spionaggio e viene attivato secondo necessità. L’elenco completo dei moduli spyware dannosi è elencato di seguito:
- libarm.jar – registra le telefonate;
- libmpeg4.jar – raccoglie il testo dei messaggi di notifica in arrivo da 17 app;
- local.jar – raccoglie l’elenco dei file sul dispositivo;
- phone.jar: utilizza in modo improprio i servizi di accessibilità per spiare le app di messaggistica estraendo il nome del contatto, il messaggio nella chat e la data;
- resources.jar – raccoglie i messaggi SMS memorizzati sul dispositivo;
- services.jar – ottiene la posizione del dispositivo;
- systemui.jar – raccoglie informazioni sul dispositivo e sul sistema;
- timer.jar – raccoglie un elenco di app installate;
- toolkit.jar – raccoglie l’elenco dei contatti;
- watchkit.jar – raccoglie un elenco di account dispositivo;
- wearkit.jar – raccoglie un elenco di registri delle chiamate;
I dati raccolti vengono archiviati nella directory dell’app, crittografati con AES e, infine, rispediti al server di comando e controllo dell’aggressore.
Abusando del servizio di accessibilità, il malware può leggere il contenuto delle notifiche da Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail e altre app.
Nei dispositivi rooted in cui l’utente normale dispone dei privilegi di amministratore, il malware si concede automaticamente l’autorizzazione di eseguire modifiche alle impostazioni di sicurezza, scrivere sul filesystem, eseguire riavvii e attuare altre funzioni pericolose.
Il gruppo di hacking StrongPity è attivo dal 2012 ed è specializzato nel nascondere backdoor in programmi di installazione di software legittimi. Sulla base del rapporto di ESET, l’autore della minaccia continua a utilizzare la stessa tattica dopo un decennio.
Gli utenti Android dovrebbero essere cauti con gli APK provenienti dall’esterno di Google Play e prestare attenzione alle richieste di autorizzazione durante l’installazione di nuove app.