Špionážní kampaň APT skupiny StrongPity cílí na uživatele platformy Android

Backdoor, který skupina prostřednictvím trojanizované aplikace Telegram v kampani využívá, má různé špionážní funkce - jeho 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat.

Podle dostupných dat analytiků ze společnosti ESET využívá APT skupina StrongPity plně funkční trojanizovanou verzi legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, kterou lze stáhnout z falešné stránky napodobující web Shagle, a to navzdory tomu, že žádná oficiální verze této aplikace.

APT (Advanced Persistent Threat) je označení pro skupiny různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů, nejčastěji za účelem kyberšpionáže.

"Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací. Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat," říká Martin Jirkal, vedoucí analytického týmu společnosti ESET.

Útočníci vytvořili aplikaci, která nemá reálnou předlohu

Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci.

Škodlivý kód, jeho funkčnost, názvy tříd i certifikát použitý k podepsání APK souboru jsou totožné s jinou předchozí kampaní, bezpečnostní experti se proto s velkou jistotou domnívají, že pod touto operací je podepsána právě skupina StrongPity.

Analýza kódu také odhalila, že backdoor (tzv. zadní vrátka) je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu.

Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat.

To může znamenat dvě věci - buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné.

Článek ESET software spol. s r. o. ze dne pátek 27. ledna 2023

Další články od ESET software spol. s r. o.