StrongPity lanza una versión maliciosa de Telegram para Android
Se presenta como una app llamada 'Shagle': un servicio de video chat sin versión para móviles
ESET identifica una campaña que ha estado distribuyendo una versión maliciosa de Telegram para Android a través de un falso sitio web que se hace pasar por Shagle: un servicio de video chat que ofrece comunicaciones cifradas entre extraños. A diferencia del sitio verídico de Shagle cuyo servicio solo se da en la web y que no ofrece una aplicación móvil oficial, el sitio falso solo proporciona una aplicación para Android para descargar y no es posible utilizar el servicio web. Los investigadores de ESET atribuyen esta campaña al grupo de APT StrongPity.
La aplicación maliciosa es una versión completamente funcional pero troyana de la aplicación legítima de Telegram. Sin embargo, se presenta como la aplicación de Shagle, la cual curiosamente no existe. En adelante nos referiremos a esta app como la falsa aplicación de Shagle, la aplicación troyanizada de Telegram o el backdoor de StrongPity. Los productos de ESET detectan esta amenaza como Android/StrongPity.A.
Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho más. Si la víctima activa en la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.
Es probable que la campaña apunte a un objetivo muy concreto y limitado, ya que ESET aún no identifica a ninguna víctima. La versión analizada del malware disponible en el sitio web falso ya no está activa. Por lo tanto, no nos ha sido posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la versión maliciosa de Telegram para Android. Pero eso podría cambiar en cualquier momento si el atacante decide actualizar la aplicación maliciosa.
Fuente: http://bit.ly/3DqSzvq