{"id":567765,"date":"2023-01-10T18:27:31","date_gmt":"2023-01-10T18:27:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-strongpity-distribuyen-la-aplicacion-troyanized-telegram-para-apuntar-a-los-usuarios-de-android\/"},"modified":"2023-01-10T18:27:32","modified_gmt":"2023-01-10T18:27:32","slug":"los-piratas-informaticos-de-strongpity-distribuyen-la-aplicacion-troyanized-telegram-para-apuntar-a-los-usuarios-de-android","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-strongpity-distribuyen-la-aplicacion-troyanized-telegram-para-apuntar-a-los-usuarios-de-android\/","title":{"rendered":"Los piratas inform\u00e1ticos de StrongPity distribuyen la aplicaci\u00f3n Troyanized Telegram para apuntar a los usuarios de Android"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Persistente Avanzada<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El grupo de amenazas persistentes avanzadas (APT) conocido como fuertel\u00e1stima<\/strong> se ha dirigido a los usuarios de Android con una versi\u00f3n troyana de la aplicaci\u00f3n Telegram a trav\u00e9s de un sitio web falso que se hace pasar por un servicio de chat de video llamado Shagle<\/b>.<\/p>\n

“Se utiliza un sitio web imitador, que imita el servicio Shagle, para distribuir la aplicaci\u00f3n m\u00f3vil de puerta trasera de StrongPity”, dijo Luk\u00e1\u0161 \u0160tefanko, investigador de malware de ESET. dicho<\/a> en un informe t\u00e9cnico. “La aplicaci\u00f3n es una versi\u00f3n modificada de la aplicaci\u00f3n Telegram de c\u00f3digo abierto, reempaquetada con el c\u00f3digo de puerta trasera StrongPity”.<\/p>\n

StrongPity, tambi\u00e9n conocido por los nombres APT-C-41 y Promethium, es un grupo de ciberespionaje activo desde al menos 2012, con la mayor\u00eda de sus operaciones centradas en Siria y Turqu\u00eda. Kaspersky inform\u00f3 p\u00fablicamente por primera vez sobre la existencia del grupo en octubre de 2016.<\/p>\n

El actor de amenazas campa\u00f1as<\/a> Desde entonces, se han expandido para abarcar m\u00e1s objetivos en \u00c1frica, Asia, Europa y Am\u00e9rica del Norte, y las intrusiones aprovechan los ataques de abrevadero y los mensajes de phishing para activar la cadena de destrucci\u00f3n.<\/p>\n

Una de las principales caracter\u00edsticas de StrongPity es el uso de sitios web falsificados que pretenden ofrecer una amplia variedad de herramientas de software, solo para enga\u00f1ar a las v\u00edctimas para que descarguen versiones corruptas de aplicaciones leg\u00edtimas.<\/p>\n

En diciembre de 2021, Minerva Labs revelado<\/a> una secuencia de ataque de tres etapas derivada de la ejecuci\u00f3n de un archivo de configuraci\u00f3n de Notepad ++ aparentemente benigno para, en \u00faltima instancia, entregar una puerta trasera a los hosts infectados.<\/p>\n

Ese mismo a\u00f1o, StrongPity fue observado<\/a> implementar una pieza de malware de Android por primera vez posiblemente irrumpiendo en el portal de gobierno electr\u00f3nico sirio y reemplazando el archivo APK oficial de Android con una contraparte maliciosa.<\/p>\n

\"\"<\/div>\n

Los \u00faltimos hallazgos de ESET destacan un modus operandi similar que est\u00e1 dise\u00f1ado para distribuir una versi\u00f3n actualizada de la carga \u00fatil de puerta trasera de Android, que est\u00e1 equipada para grabar llamadas telef\u00f3nicas, rastrear ubicaciones de dispositivos y recopilar mensajes SMS, registros de llamadas, listas de contactos y archivos.<\/p>\n

Adem\u00e1s, otorgar permisos de acceso a los servicios de malware le permite desviar notificaciones y mensajes entrantes de varias aplicaciones como Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber y WeChat.<\/p>\n

\"\"<\/div>\n

La compa\u00f1\u00eda eslovaca de ciberseguridad describi\u00f3 el implante como modular y capaz de descargar componentes adicionales desde un servidor remoto de comando y control (C2) para adaptarse a los objetivos en evoluci\u00f3n de las campa\u00f1as de StrongPity.<\/p>\n

La funcionalidad de puerta trasera est\u00e1 oculta dentro de una versi\u00f3n leg\u00edtima de la aplicaci\u00f3n de Android de Telegram que estaba disponible para descargar alrededor del 25 de febrero de 2022. Dicho esto, el sitio web falso de Shagle ya no est\u00e1 activo, aunque las indicaciones son que la actividad est\u00e1 “muy espec\u00edfica” debido a la falta de datos de telemetr\u00eda.<\/p>\n

Tampoco hay evidencia de que la aplicaci\u00f3n se haya publicado en la tienda oficial de Google Play. Actualmente no se sabe c\u00f3mo las v\u00edctimas potenciales son atra\u00eddas al sitio web falso y si implica t\u00e9cnicas como ingenier\u00eda social, envenenamiento de motores de b\u00fasqueda o anuncios fraudulentos.<\/p>\n

Tampoco hay evidencia de que la aplicaci\u00f3n (“video.apk<\/a>“) se public\u00f3 en la tienda oficial de Google Play. Actualmente no se sabe c\u00f3mo las v\u00edctimas potenciales son atra\u00eddas al sitio web falso y si implica t\u00e9cnicas como ingenier\u00eda social, envenenamiento de motores de b\u00fasqueda o anuncios fraudulentos.<\/p>\n

“El dominio malicioso se registr\u00f3 el mismo d\u00eda, por lo que el sitio de imitaci\u00f3n y la aplicaci\u00f3n Shagle falsa pueden haber estado disponibles para descargar desde esa fecha”, se\u00f1al\u00f3 \u0160tefanko.<\/p>\n

Otro aspecto notable del ataque es que la versi\u00f3n manipulada de Telegram usa el mismo nombre de paquete que la aplicaci\u00f3n genuina de Telegram, lo que significa que la variante con puerta trasera no se puede instalar en un dispositivo que ya tiene instalado Telegram.<\/p>\n

“Esto podr\u00eda significar una de dos cosas: o el actor de la amenaza se comunica primero con las v\u00edctimas potenciales y las presiona para que desinstalen Telegram de sus dispositivos si est\u00e1 instalado, o la campa\u00f1a se enfoca en pa\u00edses donde el uso de Telegram es raro para la comunicaci\u00f3n”, dijo \u0160tefanko.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n