ESET-onderzoekers ontdekten een actieve campagne van de StrongPity APT-groep die gebruikmaakt van een functionele maar getrojaniseerde versie van de legitiemeTelegram-app, hoewel die niet bestaat, herverpakt als “de” Shagle-app.
Android-gebruikers doelwit van getrojaniseerde Telegram-app, een spionagecampagne van StrongPity APT ontdekt door ESET
· Onderzoekers van ESET identificeerden een actieve StrongPity-campagne die een functionele maar getrojaniseerde versie van de legitieme Telegram-app verspreidt.
· Het is de eerste keer dat de beschreven modules en hun functionaliteit gedocumenteerd zijn.
· De backdoor van StrongPity is modulair en heeft verschillende spionagefuncties: opnemen van telefoongesprekken, verzamelen van SMS-berichten, van lijsten met logs van oproepen en contacten, en nog veel meer.
· Verleent het slachtoffer de kwaadaardige StrongPity-app meldingstoegang en toegangsdiensten, dan kan de malware de communicatie van messaging-apps zoals Viber, Skype, Gmail, Messenger en Tinder exfiltreren.
· Een copycat-website die Shagle – een videochatservice voor volwassenen – nabootst, wordt gebruikt om de mobiele backdoor-app van StrongPity te verspreiden.
· De app is een aangepaste versie van de open-source Telegram-app, herverpakt met een StrongPity-backdoor-code.
· Wegens een gelijkenis met een eerdere StrongPity-backdoor-code en de ondertekening met een certificaat van een eerdere StrongPity-campagne, schrijft ESET deze dreiging toe aan de StrongPity APT-groep.
10 januari 2023 — ESET-onderzoekers ontdekten een actieve campagne van de StrongPity APT-groep die gebruikmaakt van een functionele maar getrojaniseerde versie van de legitiemeTelegram-app, hoewel die niet bestaat, herverpakt als “de” Shagle-app. Deze StrongPity-backdoor heeft verschillende spionagefuncties: de 11 dynamisch geactiveerde modules zijn verantwoordelijk voor de opname van telefoongesprekken, het verzamelen van sms-berichten, lijsten met oproep-logs en contactlijsten, en nog veel meer. Deze modules zijn nu voor het eerst gedocumenteerd. Verleent het slachtoffer de kwaadaardige StrongPity-app meldingstoegang en toegangsdiensten, dan krijgt de app ook toegang tot inkomende meldingen van 17 apps zoals Viber, Skype, Gmail, Messenger en Tinder. Het kan ook chatcommunicatie van andere apps exfiltreren. De campagne is wellicht zeer gericht, daar de ESET-telemetrie nog steeds geen slachtoffers kon identificeren.
In tegenstelling tot de volledig webgebaseerde, echte Shagle-site, die geen officiële mobiele app biedt om toegang te krijgen tot zijn diensten, biedt de copycat-site slechts een te downloaden Android-app, zonder webgebaseerde streaming. Deze getrojaniseerde Telegram-app was nooit beschikbaar in de Google Play Store.
De kwaadaardige code, de functionaliteit, de klassenamen en het certificaat dat gebruikt wordt om het APK-bestand te ondertekenen, zijn identiek aan deze van de vorige campagne. Daarom gelooft ESET met grote zekerheid dat dit een actie van StrongPity-groep is. Code-analyse laat zien dat de backdoor modulair is en dat aanvullende binaire modules van de C&C-server gedownload worden. Het aantal modules en hun type kan op elke ogenblik gewijzigd worden om aan de eisen van de campagne te voldoen als de StrongPity-groep dat eist.
“Tijdens ons onderzoek was de versie van de malware op de copycat-website niet meer actief. Het was dus niet langer mogelijk om de backdoor-functionaliteit succesvol te installeren en te activeren omdat StrongPity voor zijn getrojaniseerde Telegram-app geen eigen API-ID had verkregen. Maar op elk moment kan dit veranderen, mochten de ontwerpers besluiten de kwaadaardige app bij te werken”, zegt Lukáš Štefanko, de ESET-onderzoeker die de getrojaniseerde Telegram-app analyseerde.
De herverpakte versie van Telegram gebruikt dezelfde pakketnaam als de legitieme Telegram-app. Pakketnamen worden verondersteld unieke ID’s te zijn voor elke Android-app en moeten uniek zijn op elk toestel. Als de officiële Telegram-app al op het toestel van een potentieel slachtoffer staat, kan deze backdoorversie niet geïnstalleerd worden. “Dit kan betekenen dat de dreigingsactor eerst met de potentiële slachtoffers communiceert en hen dwingt om Telegram van hun toestel te verwijderen als het geïnstalleerd is, of dat de campagne zich richt op landen waar Telegram zelden voor communicatie wordt gebruikt “, aldus de onderzoeker.
De StrongPity app had voor communicatie net als de officiële versie moeten werken – met standaard API’s die op de Telegram-website goed gedocumenteerd zijn – maar dat doet het niet meer. Vergeleken met de eerste StrongPity-malware die ontdekt werd, heeft deze StrongPity-backdoor uitgebreide spionagefuncties, zodat inkomende meldingen kunnen bespioneerd en chatcommunicatie geëxfiltreerd kan worden als het slachtoffer de app-meldingstoegang verleent en toegangsdiensten activeert.
Voor meer technische informatie over de nieuwste StrongPity-app, ga naar de blog “StrongPity espionage campaign targeting Android users” op WeLiveSecurity. Volg zeker ook ESET Research on Twitter voor het laatste nieuws over ESET Research.