- Výskumníci spoločnosti ESET odhalili prebiehajúcu kampaň APT skupiny StrongPity, ktorá šíri plne funkčnú, no skompromitovanú verziu aplikácie Telegram.
- Ide o prvý prípad, pri ktorom boli popísané moduly a ich funkcionality verejne zdokumentované.
- Backdoor z dielne skupiny StrongPity je modulárny a disponuje viacerými špionážnymi schopnosťami, vrátane nahrávania telefonických rozhovorov, zbierania SMS správ, zoznamov hovorov či kontaktov.
- Ak obeť udelí škodlivej aplikácii prístup k notifikáciám a službám dostupnosti, malvér dokáže kradnúť komunikáciu z aplikácií ako Viber, Skype, Gmail, Messenger a Tinder.
- Na šírenie skompromitovanej aplikácie skupina používa falošnú stránku, ktorá napodobňuje Shagle, video-chatovaciu službu určenú pre dospelých.
- Aplikácia, ktorú si používatelia stiahnu, je upravená verzia open-source aplikácie Telegram, v ktorej je ukrytý škodlivý backdoor od skupiny StrongPity.
Výskumníci spoločnosti ESET odhalili prebiehajúcu kampaň APT skupiny StrongPity, ktorá zneužíva plne funkčnú, no skompromitovanú verziu legitímnej aplikácie Telegram a dá sa stiahnuť výhradne z falošnej stránky napodobňujúcej web Shagle. Backdoor z dielne skupiny StrongPity disponuje viacerými špionážnymi schopnosťami: 11 dynamicky spustiteľných modulov dokáže nahrávať telefonické hovory či zbierať SMS správy, zoznamy hovorov a kontaktov. Tieto moduly sa podarilo verejne zdokumentovať vôbec prvýkrát. Ak obeť udelí škodlivej aplikácii prístup k notifikáciám a službám dostupnosti, malvér získa prístup k prichádzajúcim notifikáciám zo 17 aplikácií ako napríklad Viber, Skype, Gmail, Messenger či Tinder a dokáže tiež kradnúť chatovú komunikáciu z ostatných aplikácií. Kybernetická kampaň je pravdepodobne veľmi úzko cielená, keďže telemetria spoločnosti ESET doposiaľ nezaznamenala žiadne obete.
Na rozdiel od skutočnej služby Shagle, ktorá funguje výhradne ako webová stránka a neponúka na stiahnutie oficiálnu mobilnú aplikáciu, falošná stránka ponúka na stiahnutie podvodnú Telegram aplikáciu a neumožňuje streamovanie cez webovú stránku. Táto skompromitovaná verzia aplikácie Telegram pritom nie je dostupná v obchode Google Play.
Porovnanie legitímnej stránky Shagle s falošnou.
Škodlivý kód, jeho funkcionality, názvy tried a certifikát použitý na podpis APK súboru sú totožné s predošlou kampaňou. ESET preto s vysokou mierou istoty verí, že táto operácia pochádza z dielne skupiny StrongPity. Analýza kódu ukázala, že backdoor je modulárny a dodatočné binárne moduly sú sťahované z riadiaceho servera. To znamená, že počet a typ použitých modulov sa môže kedykoľvek meniť v závislosti od potrieb skupiny StrongPity.
„Počas našej analýzy nebol už malvér dostupný z falošnej stránky aktívny a už sa nedalo úspešne nainštalovať a spustiť jeho backdoorovú funkcionalitu. Je to preto, že skupina StrongPity nezískala svoje vlastné API ID pre jej skompromitovanú Telegram aplikáciu. No to sa môže hocikedy zmeniť, ak sa útočníci rozhodnú aktualizovať škodlivú aplikáciu,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý analyzoval skompromitovanú aplikáciu Telegram.
Skompromitovaná verzia Telegramu používa ten istý názov balíka ako legitímna aplikácia Telegram. Názvy balíkov by mali byť unikátne identifikátory pre každú Android aplikáciu a musia byť jedinečné pre každé zariadenie. Znamená to, že ak je oficiálna Telegram aplikácia už nainštalovaná na zariadení možnej obete, backdoor nedokáže byť nainštalovaný. Podľa Štefanka sa to dá vysvetliť dvoma spôsobmi: „Buď útočník najprv komunikuje s potenciálnou obeťou a tlačí ju do odinštalovania aplikácie Telegram z jej zariadenia, ak ju už má nainštalovanú. Druhou možnosťou je, že sa kampaň zameriava na krajiny, kde je Telegram používaný na komunikáciu len zriedka.“
Aplikácia skupiny StrongPity by mala na komunikáciu fungovať tak isto ako oficiálna verzia, využívajúc štandardné API (rozhrania pre programovanie aplikácií), ktoré sú podrobne zaznamenané na stránke Telegramu. Falošná aplikácia však už nefunguje. V porovnaní s prvým malvérom skupiny StrongPity pre mobilné telefóny, má tento backdoor rozšírené špionážne schopnosti. Dokáže sledovať prichádzajúce notifikácie a kradnúť chatovú komunikáciu, ak obeť povolí aplikácii prístup k notifikáciám a službám dostupnosti.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.