StrongPity lanza una versión maliciosa de Telegram para Android

ESET identifica una campaña que ha estado distribuyendo una versión maliciosa de Telegram para Android a través de un falso sitio web que se hace pasar por Shagle: un servicio de video chat que ofrece comunicaciones cifradas entre extraños. A diferencia del sitio verídico de Shagle cuyo servicio solo se da en la web y que no ofrece una aplicación móvil oficial, el sitio falso solo proporciona una aplicación para Android para descargar y no es posible utilizar el servicio web. Los investigadores de ESET atribuyen esta campaña al grupo de APT StrongPity.

Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho más. Si la víctima activa en la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.

Es probable que la campaña apunte a un objetivo muy concreto y limitado, ya que ESET aún no identifica a ninguna víctima. La versión analizada del malware disponible en el sitio web falso ya no está activa. Por lo tanto, no nos ha sido posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la versión maliciosa de Telegram para Android. Pero eso podría cambiar en cualquier momento si el atacante decide actualizar la aplicación maliciosa.

Fuente: http://bit.ly/3DqSzvq