El grupo de amenazas persistentes avanzadas (APT) conocido como fuertelástima se ha dirigido a los usuarios de Android con una versión troyana de la aplicación Telegram a través de un sitio web falso que se hace pasar por un servicio de chat de video llamado Shagle.
«Se utiliza un sitio web imitador, que imita el servicio Shagle, para distribuir la aplicación móvil de puerta trasera de StrongPity», dijo Lukáš Štefanko, investigador de malware de ESET. dicho en un informe técnico. «La aplicación es una versión modificada de la aplicación Telegram de código abierto, reempaquetada con el código de puerta trasera StrongPity».
StrongPity, también conocido por los nombres APT-C-41 y Promethium, es un grupo de ciberespionaje activo desde al menos 2012, con la mayoría de sus operaciones centradas en Siria y Turquía. Kaspersky informó públicamente por primera vez sobre la existencia del grupo en octubre de 2016.
El actor de amenazas campañas Desde entonces, se han expandido para abarcar más objetivos en África, Asia, Europa y América del Norte, y las intrusiones aprovechan los ataques de abrevadero y los mensajes de phishing para activar la cadena de destrucción.
Una de las principales características de StrongPity es el uso de sitios web falsificados que pretenden ofrecer una amplia variedad de herramientas de software, solo para engañar a las víctimas para que descarguen versiones corruptas de aplicaciones legítimas.
En diciembre de 2021, Minerva Labs revelado una secuencia de ataque de tres etapas derivada de la ejecución de un archivo de configuración de Notepad ++ aparentemente benigno para, en última instancia, entregar una puerta trasera a los hosts infectados.
Ese mismo año, StrongPity fue observado implementar una pieza de malware de Android por primera vez posiblemente irrumpiendo en el portal de gobierno electrónico sirio y reemplazando el archivo APK oficial de Android con una contraparte maliciosa.
Los últimos hallazgos de ESET destacan un modus operandi similar que está diseñado para distribuir una versión actualizada de la carga útil de puerta trasera de Android, que está equipada para grabar llamadas telefónicas, rastrear ubicaciones de dispositivos y recopilar mensajes SMS, registros de llamadas, listas de contactos y archivos.
Además, otorgar permisos de acceso a los servicios de malware le permite desviar notificaciones y mensajes entrantes de varias aplicaciones como Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber y WeChat.
La compañía eslovaca de ciberseguridad describió el implante como modular y capaz de descargar componentes adicionales desde un servidor remoto de comando y control (C2) para adaptarse a los objetivos en evolución de las campañas de StrongPity.
La funcionalidad de puerta trasera está oculta dentro de una versión legítima de la aplicación de Android de Telegram que estaba disponible para descargar alrededor del 25 de febrero de 2022. Dicho esto, el sitio web falso de Shagle ya no está activo, aunque las indicaciones son que la actividad está «muy específica» debido a la falta de datos de telemetría.
Tampoco hay evidencia de que la aplicación se haya publicado en la tienda oficial de Google Play. Actualmente no se sabe cómo las víctimas potenciales son atraídas al sitio web falso y si implica técnicas como ingeniería social, envenenamiento de motores de búsqueda o anuncios fraudulentos.
Tampoco hay evidencia de que la aplicación («video.apk«) se publicó en la tienda oficial de Google Play. Actualmente no se sabe cómo las víctimas potenciales son atraídas al sitio web falso y si implica técnicas como ingeniería social, envenenamiento de motores de búsqueda o anuncios fraudulentos.
«El dominio malicioso se registró el mismo día, por lo que el sitio de imitación y la aplicación Shagle falsa pueden haber estado disponibles para descargar desde esa fecha», señaló Štefanko.
Otro aspecto notable del ataque es que la versión manipulada de Telegram usa el mismo nombre de paquete que la aplicación genuina de Telegram, lo que significa que la variante con puerta trasera no se puede instalar en un dispositivo que ya tiene instalado Telegram.
«Esto podría significar una de dos cosas: o el actor de la amenaza se comunica primero con las víctimas potenciales y las presiona para que desinstalen Telegram de sus dispositivos si está instalado, o la campaña se enfoca en países donde el uso de Telegram es raro para la comunicación», dijo Štefanko.