Praha, 26. ledna 2023 - Analytici společnosti ESET objevili novou kampaň skupiny StrongPity, kterou skupina distribuuje pomocí plně funkční, ale trojanizované aplikace Telegram. Poprvé se tak podařilo popsat moduly využité při útoku a jejich funkčnost veřejně zdokumentovat. Backdoor, kterým skupina útočí, funguje modulárně a má řadu špionážních funkcí. Pokud oběť udělí škodlivé aplikaci přístup k oznámením a službám přístupnosti, malware je schopen také exfiltrovat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření trojanizované aplikace pak skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé. V Česku tato útočná kampaň není aktuálně detekována, ale bezpečnostní experti společnosti ESET situaci monitorují.
Podle dostupných dat analytiků ze společnosti ESET využívá APT skupina StrongPity plně funkční trojanizovanou verzi legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, kterou lze stáhnout z falešné stránky napodobující web Shagle, a to navzdory tomu, že žádná oficiální verze této aplikace neexistuje. APT neboli Advanced Persistent Threat je označení pro skupiny různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů, nejčastěji za účelem kyberšpionáže.
Backdoor (tzv. zadní vrátka), který skupina v kampani využívá, má různé špionážní funkce: jeho 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat.
„Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací,“ popisuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
Útočníci vytvořili aplikaci, která nemá reálnou předlohu
Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci.
Škodlivý kód, jeho funkčnost, názvy tříd i certifikát použitý k podepsání APK souboru jsou totožné s jinou předchozí kampaní, bezpečnostní experti se proto s velkou jistotou domnívají, že pod touto operací je podepsána právě skupina StrongPity. Analýza kódu také odhalila, že backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu.
„Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikaci Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ říká Jirkal.
Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat. „To může znamenat dvě věci – buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné,“ dodává Jirkal z ESETu.
Více informací
Více informací ke kampani APT skupiny StrongPity najdete na stránkách našeho magazínu WeLiveSecurity.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.
ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.
Kontakt pro média:
Ondřej Šafář
Manažer PR a komunikace
ESET software spol. s r.o.
tel: +420 776 234 218
ondrej.safar@eset.cz
Lucie Mudráková
Specialistka PR a komunikace
ESET software spol. s r.o.
tel: +420 702 206 705
lucie.mudrakova@eset.cz