ESET descobre campanha de espionagem visando usuários do Telegram

Os pesquisadores da empresa de cibersegurança ESET identificaram uma campanha ativa do grupo StrongPity APT, alavancando uma versão totalmente funcional, mas trojanizada, do aplicativo Telegram legítimo, que apesar de inexistente, foi reembalado como o aplicativo Shagle.

Este backdoor do StrongPity possui vários recursos de espionagem: seus 11 módulos acionados dinamicamente são responsáveis ​​por gravar chamadas telefônicas, coletar mensagens SMS, coletar listas de registros de chamadas e listas de contatos e muito mais. Esses módulos estão sendo documentados publicamente pela primeira vez.

Se a vítima conceder ao aplicativo malicioso StrongPity acesso a notificações e serviços de acessibilidade, o aplicativo também terá acesso a notificações recebidas de 17 aplicativos, como Viber, Skype, Gmail, Messenger e Tinder, e poderá exfiltrar a comunicação de bate-papo de outros aplicativos. A campanha provavelmente tem uma segmentação muito restrita,

Ao contrário do site Shagle genuíno totalmente baseado na Web, que não oferece um aplicativo móvel oficial para acessar seus serviços, o site imitador fornece apenas um aplicativo Android para download, sem possibilidade de streaming baseado na Web. Este aplicativo Telegram trojanizado nunca foi disponibilizado na Google Play Store.

O código malicioso, sua funcionalidade, nomes de classe e o certificado usado para assinar o arquivo APK são idênticos à campanha anterior. Assim, a ESET acredita com grande confiança que esta operação pertence ao grupo StrongPity. A análise do código revelou que o backdoor é modular e módulos binários adicionais são baixados do servidor C&C. Isso significa que o número e o tipo de módulos utilizados podem ser alterados a qualquer momento para atender às solicitações da campanha quando operada pelo grupo StrongPity.

“Durante nossa investigação, a versão analisada do malware disponível no site do imitador não estava mais ativa e não era mais possível instalar e acionar com sucesso sua funcionalidade backdoor. Isso ocorre porque o StrongPity não obteve seu próprio ID de API para seu aplicativo Telegram trojanizado. Mas isso pode mudar a qualquer momento, caso o agente da ameaça decida atualizar o aplicativo malicioso”, diz Lukáš Štefanko, pesquisador da ESET que analisou o aplicativo Telegram trojanizado.

A versão repaginada do Telegram usa o mesmo nome de pacote do aplicativo legítimo do Telegram. Os nomes dos pacotes devem ser IDs exclusivos para cada aplicativo Android e devem ser exclusivos em qualquer dispositivo. Isso significa que, se o aplicativo oficial do Telegram já estiver instalado no dispositivo de uma vítima em potencial, essa versão backdoor não poderá ser instalada. “Isso pode significar uma de duas coisas: ou o agente da ameaça primeiro se comunica com as vítimas em potencial e as pressiona a desinstalar o Telegram de seus dispositivos, se estiver instalado, ou a campanha se concentra em países onde o uso do Telegram é raro para comunicação”, acrescenta Štefanko.

O aplicativo do StrongPity deveria funcionar exatamente como a versão oficial para comunicação, usando APIs padrão que estão bem documentadas no site do Telegram, mas não funciona mais. Em comparação com o primeiro malware StrongPity descoberto para dispositivos móveis, este backdoor StrongPity estendeu os recursos de espionagem, sendo capaz de espionar as notificações recebidas e exfiltrar a comunicação do chat, se a vítima conceder acesso à notificação do aplicativo e ativar os serviços de acessibilidade.

Serviço
www.eset.com