top of page

ūüö® CAMPA√ĎA DE ESPIONAJE DIRIGIDA A USUARIOS DE ANDROID ūüö®








ūüĎ®‚ÄćūüíĽ Investigadores de ESET identificaron una campa√Īa en curso, activa desde finales de 2021 y atribuida al grupo APT StrongPity, que ha estado distribuyendo una aplicaci√≥n maliciosa a trav√©s de un sitio web que se hace pasar por Shagle, servicio de video chat que ofrece comunicaciones cifradas entre extra√Īos.


ūüďĪ A diferencia del sitio leg√≠timo de Shagle, que no ofrece una aplicaci√≥n m√≥vil oficial para acceder a sus servicios, el sitio falso solo proporciona una aplicaci√≥n para Android para descargar.


ūüźī La aplicaci√≥n maliciosa es una versi√≥n completamente funcional pero troyana de la aplicaci√≥n leg√≠tima de Telegram. As√≠ logra grabar llamadas telef√≥nicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho m√°s.




Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho más. Si la víctima habilita a la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.




Puntos claves de la investigación de ESET:


· Para distribuir la falsa app con funcionalidades de backdoor el grupo StrongPity utiliza un sitio web que imita el sitio oficial del servicio Shagle.


· La aplicación que se descarga del sitio falso es una versión modificada de la aplicación de código abierto Telegram, reempaquetada con el código del backdoor de StrongPity.


¬∑ ESET atribuye esta amenaza al grupo de APT StrongPity a partir de las similitudes en el c√≥digo con el backdoor utilizado en una campa√Īa anterior y que la aplicaci√≥n est√° firmada con un certificado utilizado anteriormente por StrongPity.


· El backdoor de StrongPity es modular y tiene varias funciones de espionaje. Todos los módulos binarios necesarios se cifran mediante AES y se descargan de su servidor C&C.


¬∑ Esta es la primera vez que los m√≥dulos descritos y funcionalidad de StrongPity se documentan p√ļblicamente.


‚ÄúLa aplicaci√≥n maliciosa es, de hecho, una versi√≥n completamente funcional pero troyana de la aplicaci√≥n leg√≠tima de Telegram. Sin embargo, se presenta como la aplicaci√≥n de Shagle, la cual no existe. Nos referiremos a esta app como la falsa aplicaci√≥n de Shagle, la aplicaci√≥n troyanizada de Telegram o el backdoor de StrongPity. Los productos de ESET detectan esta amenaza como Android/StrongPity.A.‚ÄĚ, comenta Camilo Guti√©rrez Amaya de ESET Latinoam√©rica.


Es probable que la campa√Īa apunte a un objetivo muy espec√≠fico y limitado, ya que la telemetr√≠a de ESET a√ļn no identifica a ninguna v√≠ctima. Durante la investigaci√≥n, la versi√≥n analizada del malware disponible en el sitio web falso ya no estaba activa. Por lo tanto, no fue posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la aplicaci√≥n troyanizada de Telegram. Pero eso podr√≠a cambiar en cualquier momento si el atacante decide actualizar la aplicaci√≥n maliciosa.


Esta campa√Īa del grupo StrongPity se basa en un backdoor para Android que se despliega desde un dominio que contiene la palabra ‚Äúdutch‚ÄĚ. Este sitio web se hace pasar por el servicio leg√≠timo llamado Shagle (shagle.com). La aplicaci√≥n maliciosa se proporciona directamente desde el sitio web que suplanta la identidad y nunca estuvo disponible en la tienda Google Play. Es una versi√≥n troyanizada de la aplicaci√≥n leg√≠tima Telegram, presentada como si fuera la aplicaci√≥n Shagle, aunque actualmente no existe una aplicaci√≥n oficial de Shagle para Android.






Pie de imagen: Comparación del sitio web legítimo de la izquierda y el falso a la derecha.


En el sitio falso, el código HTML incluye evidencia de que fue copiado del sitio legítimo shagle.com el 1 de noviembre de 2021, utilizando la herramienta automatizada HTTrack. El dominio malicioso se registró el mismo día, por lo que el sitio falso y la app falsa de Shagle pueden haber estado disponibles para su descarga desde esa fecha.


‚ÄúLa aplicaci√≥n falsa de Shagle se aloj√≥ en el sitio web que se hac√≠a pasar por el sitio oficial de Shagle, desde el cual las v√≠ctimas ten√≠an que elegir descargar e instalar la aplicaci√≥n. No hubo ning√ļn subterfugio que sugiriera que la aplicaci√≥n estaba disponible en Google Play y no sabemos c√≥mo las v√≠ctimas potenciales fueron atra√≠das o descubrieron el falso sitio web‚ÄĚ, concluye Guti√©rrez Amaya de ESET.


Tomado de: ESET


Si deseas conocer cómo protegerte ¡Contáctanos!


 

RTM¬ģ es un Distribuidor de Valor Agregado para el mercado colombiano, ofrecemos productos y servicios que garantizan el acceso seguro, continuo y eficiente a la informaci√≥n. Nuestras marcas permiten a nuestros revendedores entregar un valor a√Īadido a sus clientes con tres unidades de negocio: seguridad, soluciones de nube y servicios profesionales. Nuestras Marcas: Acronis, UTM Sophos, Double-Take, Antivirus ESET Nod32, Kaspersky, Fsecure, BitDefender, Fortinet, eScan, Microsoft SPLA, VMware, AADS XPUnlimited, 3CX. Si desea tener asesor√≠a escribanos a contacto@rtm.com.co


#kaspersky #antivirus #cybersecurity #windows #security #trendmicro #malware #hacking #tecnologia #microsoft #firewall #dell #software #kasperskylab #ransomware #virus #cyberattack #hacker




bottom of page