ESET identifica campanha de espionagem direcionada a usuários do Android
A equipe de pesquisa da ESET identificou a distribuição de uma versão maliciosa do Telegram para Android, que se passa pelo app do serviço Shagle
São Paulo, Brasil – A ESET, empresa líder em detecção proativa de ameaças, identificou uma nova campanha maliciosa, atribuída ao grupo APT StrongPity. Ativa desde novembro de 2021, a campanha distribui um aplicativo nocivo que se passa pelo Shagle, um serviço de bate-papo por vídeo que oferece comunicações criptografadas entre usuários.
Diferente da plataforma oficial, que não oferece um aplicativo móvel, o falso site fornece a possibilidade de usuários Android efetuarem o download de um aplicativo.
Este backdoor StrongPity tem vários recursos de espionagem e seus 11 módulos ativados dinamicamente permitem gravar chamadas telefônicas, coletar mensagens SMS, acessar a lista de registro de chamadas, lista de contatos, entre outros.. Se a vítima ativar os serviços maliciosos de acessibilidade de aplicativos, um de seus módulos também pode acessar notificações recebidas, filtrando a comunicação de 17 aplicativos, incluindo Viber, Skype, Gmail, Messenger e Tinder.
Pontos-chave da pesquisa ESET:
Para atingir e enganar o maior número de pessoas, o aplicativo falso conta com funcionalidades de backdoor, utilizando um site que imita o oficial do Shagle;
O aplicativo que é baixado do site falso é uma versão modificada do aplicativo Telegram de código aberto, estruturado com o código backdoor;
A ESET atribui essa ameaça ao grupo StongPity com base nas semelhanças de código com o backdoor usado em uma campanha fraudulenta, além do aplicativo ser assinado com um certificado usado anteriormente pelos cibercriminosos;
O backdoor do StrongPity é modular e tem diversos recursos de espionagem. Todos os módulos binários necessários são criptografados usando AES e baixados do seu servidor.
Esta é a primeira vez que os módulos e a funcionalidade descritas do malware foram documentados publicamente.
“O aplicativo malicioso é, de fato, uma versão totalmente funcional, mas um Trojan do aplicativo legítimo do Telegram. No entanto, é apresentado como um aplicativo do Shagle, que não existe.
Nos referimos a este aplicativo como o Shagle falso, o aplicativo trojanizado Telegram ou o backdoor StrongPity.
Os produtos ESET detectam essa ameaça como Android/StrongPity.A”, comenta Gutiérrez Amaya, da ESET.
No site falso, o código HTML inclui evidências de que foi copiado do site legítimo no dia 1 de novembro de 2021, usando a ferramenta HTTrack. O domínio malicioso foi registrado no mesmo dia, então o site e o aplicativo Shagle falso podem estar disponíveis para download desde essa data.
“O aplicativo falso foi hospedado no site que se passa pelo oficial da Shagle. Não houve subterfúgio para sugerir que o aplicativo estava disponível no Google Play e não sabemos como as vítimas em potencial foram atraídas ou descobriram o site falso”, conclui Gutierrez Amaya.
Para obter detalhes técnicos desta campanha, informações detalhadas sobre o kit de ferramentas usado pelo grupo, recursos de backdoor e indicadores de comprometimento, visite o site.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET
Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse este link.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às
empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
Copyright © 1992 – 2022. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.
