StrongPity APT 黑客组织正在分发一个伪造的 Shagle 聊天应用程序,该应用程序是Telegram为安卓应用程序的木马化版本,并添加了后门。
Shagle 是一个合法的随机视频聊天平台,允许陌生人通过加密的通信渠道交谈。但是,该平台完全基于网络,不提供移动应用程序。
自 2021 年以来,人们发现 StrongPity 使用虚假网站,该网站冒充实际的 Shagle 网站来诱骗受害者下载恶意安卓。
安装后,此应用程序使黑客能够对目标受害者进行间谍活动,包括监控电话、收集短信和获取联系人列表。
真正的网站在左边。假网站在右边
StrongPity,也称为 Promethium 或 APT-C-41,之前归因于一个分发木马化 Notepad++ 安装程序和 WinRAR 和 TrueCrypt 恶意版本以用恶意软件感染目标的活动。
最新的 StrongPity 活动是由 ESET 研究人员发现的,他们根据与过去有效负载的代码相似性将该活动归因于间谍 APT 组织。
此外,安卓应用程序使用 APT 用于签署在 2021 年活动中模仿叙利亚电子政府 Android 应用程序的应用程序的相同证书进行签名。
StrongPity 分发的恶意安卓应用程序是一个名为“video.apk”的 APK 文件,该文件是经过修改以模拟 Shagle 移动应用程序的标准 Telegram v7.5.0(2022 年 2 月)应用程序。
ESET 无法确定受害者是如何到达假冒的 Shagle 网站的,但很可能是通过鱼叉式网络钓鱼电子邮件、网络钓鱼(SMS 网络钓鱼)或在线平台上的即时消息。
恶意 APK 直接从假冒的 Shagle 网站提供,从未在谷歌商店上提供。
ESET 表示,该克隆网站于 2021 年 11 月首次出现在网上,因此该 APK 从那时起可能一直在积极分发。然而,第 一次 在野外确认的检测是在 2022 年 7 月。
使用 Telegram 作为黑客组织假冒应用程序的基础的一个缺点是,如果受害者已经在他们的手机上安装了真正的 Telegram 应用程序,则不会安装后门版本。
恶意应用程序不会安装,因为 Telegram 已经安装
目前,抓取样本中使用的API ID因过度使用而受到限制,因此被木马化的APP将不再接受新的用户注册;因此,后门将不起作用。
ESET 认为这表明 StrongPity 已成功将恶意软件部署到目标受害者身上。
安装后,恶意软件会请求访问辅助功能服务,然后从攻击者的命令和控制服务器中获取 AES 加密文件。
该文件包含 11 个提取到设备的二进制模块,后门程序使用这些模块执行各种恶意功能。
从 C2 中获取的 11 个模块
每个模块都执行间谍功能,并根据需要触发。恶意间谍软件模块的完整列表如下:
libarm.jar——记录电话
libmpeg4.jar – 收集来自 17 个应用程序的传入通知消息的文本
local.jar – 收集设备上的文件列表(文件树)
phone.jar – 滥用辅助功能服务通过窃取联系人姓名、聊天消息和日期来监视消息传递应用程序
resources.jar – 收集存储在设备上的 SMS 消息
services.jar – 获取设备位置
systemui.jar——收集设备和系统信息
timer.jar – 收集已安装应用程序的列表
toolkit.jar – 收集联系人列表
watchkit.jar – 收集设备帐户列表
wearkit.jar – 收集通话记录列表
收集的数据存储在应用程序的目录中,使用 AES 加密,并最终发送回攻击者的命令和控制服务器。
通过滥用辅助功能服务,该恶意软件可以读取来自 Messenger、Viber、Skype、微信、Snapchat、Tinder、Instagram、Twitter、Gmail 等的通知内容。
请求危险权限的木马应用
在普通用户拥有管理员权限的 root 设备中,恶意软件会自动授予自己执行安全设置更改、写入文件系统、执行重启和执行其他危险功能的权限。
StrongPity 黑客组织自 2012 年以来一直活跃,通常将后门隐藏在合法软件安装程序中。根据 ESET 的报告,威胁行为者在十年后继续采用相同的策略。
安卓用户应谨慎对待来自谷歌商店之外的 APK,并在安装新应用时注意权限请求。
全文链接:
https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...