ESET scopre una campagna di spionaggio del gruppo APT StrongPity che impatta sulla sicurezza Android con un trojan dell’app Telegram, presentandola come app del sito Shagle. Quest’ultimo è una piattaforma di video chat casuali, accessibile unicamente tramite browser. Ma in questo caso è in realtà inesistente. La backdoor ha diverse funzioni di spionaggio. 11 moduli attivati dinamicamente sono responsabili della registrazione delle telefonate, della raccolta di messaggi SMS, della raccolta di elenchi di registri delle chiamate e di elenchi di contatti, e molto altro ancora.
Attenzione allo spionaggio degli utenti Android
Questi moduli sono stati documentati ufficialmente per la prima volta. Se la vittima concede all’app malevola StrongPity l’accesso alle notifiche e ai servizi di accessibilità, l’app avrà accesso anche alle notifiche in arrivo da 17 app tra cui Viber, Skype, Gmail, Messenger e Tinder. Così sarà in grado di esfiltrare le comunicazioni via chat da altre app. La campagna è probabilmente circoscritta, dato che la telemetria di ESET non ha ancora identificato alcuna vittima.
Sicurezza Android: il sito Shagle, vero, è innocente
Il sito Shagle autentico non prevede un’app mobile ufficiale per accedere ai suoi servizi. Invece il sito fasullo fornisce solo un’app Android da scaricare, senza possibilità di streaming via web. Questa app affetta da trojan non è mai stata resa disponibile sul Google Play Store.
Come si comporta il malware
Il codice dannoso, le sue funzionalità, i nomi delle categorie e il certificato utilizzato per firmare il file APK sono identici a quelli della campagna precedente. Pertanto ESET ritiene che questa operazione appartenga al gruppo StrongPity. L’analisi del codice ha rivelato che la backdoor è modulare e che i moduli binari aggiuntivi vengono scaricati dal server C&C. Ciò significa che il numero e il tipo di moduli utilizzati possono essere modificati in qualsiasi momento per adattarsi alle richieste della campagna, se gestita dal gruppo StrongPity.
La funzionalità di backdoor
Lukáš Štefanko, il ricercatore ESET che ha analizzato l’app
Durante la nostra indagine, la versione analizzata del malware disponibile sul sito web dell’emulatore non era più attiva. Inoltre non era più possibile installare e attivare con successo la funzionalità di backdoor. Questo perché StrongPity non ha ottenuto l’ID API per l’app Telegram malevola. Ma la situazione potrebbe cambiare in qualsiasi momento se l’autore della minaccia decidesse di farne un aggiornamento.
La versione modificata dell’app di Telegram utilizza lo stesso ID dell’originale. I nomi dei package devono essere ID unici per ogni app Android e devono essere unici su ogni dispositivo. Ciò significa che non viene installata se sul dispositivo è già presente la versione ufficiale.
Lukáš Štefanko, il ricercatore ESET che ha analizzato l’app
Questo potrebbe significare o che l’autore della minaccia comunica prima con le potenziali vittime e le spinge a disinstallare Telegram dai dispositivi se è installato. Oppure che la campagna si concentra su Paesi in cui l’uso di Telegram è ancora poco diffuso”
Spionaggio, trovarsi nel mirino del gruppo APT StrongPity
L’app di StrongPity avrebbe dovuto funzionare proprio come la versione ufficiale di Telegram, utilizzando API standard ben documentate sul sito web ufficiale. Ma oggi non risulta più attiva. Rispetto al primo malware StrongPity scoperto per i dispositivi mobili, questa backdoor ha caratteristiche di spionaggio estese. Infatti è in grado di spiare le notifiche in arrivo e di esfiltrare le comunicazioni via chat, se la vittima attiva i servizi di accessibilità.