A ESET identificou uma nova campanha maliciosa, atribuída ao grupo APT StrongPity. Ativa desde novembro de 2021, a campanha distribui um aplicativo nocivo que se passa pelo Shagle, um serviço de bate-papo por vídeo que oferece comunicações criptografadas entre usuários.
Diferente da plataforma oficial, que não oferece um aplicativo móvel, o falso site fornece a possibilidade de usuários Android efetuarem o download de um aplicativo.
Este backdoor StrongPity tem vários recursos de espionagem e seus 11 módulos ativados dinamicamente permitem gravar chamadas telefônicas, coletar mensagens SMS, acessar a lista de registro de chamadas, lista de contatos, entre outros.. Se a vítima ativar os serviços maliciosos de acessibilidade de aplicativos, um de seus módulos também pode acessar notificações recebidas, filtrando a comunicação de 17 aplicativos, incluindo Viber, Skype, Gmail, Messenger e Tinder.
Pontos-chave da pesquisa ESET:
- Para atingir e enganar o maior número de pessoas, o aplicativo falso conta com funcionalidades de backdoor, utilizando um site que imita o oficial do Shagle;
- O aplicativo que é baixado do site falso é uma versão modificada do aplicativo Telegram de código aberto, estruturado com o código backdoor;
- A ESET atribui essa ameaça ao grupo StongPity com base nas semelhanças de código com o backdoor usado em uma campanha fraudulenta, além do aplicativo ser assinado com um certificado usado anteriormente pelos cibercriminosos;
- O backdoor do StrongPity é modular e tem diversos recursos de espionagem. Todos os módulos binários necessários são criptografados usando AES e baixados do seu servidor C&C;
Esta é a primeira vez que os módulos e a funcionalidade descritas do malware foram documentados publicamente.
“O aplicativo malicioso é, de fato, uma versão totalmente funcional, mas um Trojan do aplicativo legítimo do Telegram. No entanto, é apresentado como um aplicativo do Shagle, que não existe. Nos referimos a este aplicativo como o Shagle falso, o aplicativo trojanizado Telegram ou o backdoor StrongPity. Os produtos ESET detectam essa ameaça como Android/StrongPity.A”, comenta Gutiérrez Amaya, da ESET.
No site falso, o código HTML inclui evidências de que foi copiado do site legítimo no dia 1 de novembro de 2021, usando a ferramenta HTTrack. O domínio malicioso foi registrado no mesmo dia, então o site e o aplicativo Shagle falso podem estar disponíveis para download desde essa data.
“O aplicativo falso foi hospedado no site que se passa pelo oficial da Shagle. Não houve subterfúgio para sugerir que o aplicativo estava disponível no Google Play e não sabemos como as vítimas em potencial foram atraídas ou descobriram o site falso”, conclui Gutierrez Amaya.
Para obter detalhes técnicos desta campanha, informações detalhadas sobre o kit de ferramentas usado pelo grupo, recursos de backdoor e indicadores de comprometimento, visite o site.
