 |
|
|
El equipo de investigación de ESET identificó una campaña de espionaje atribuida al grupo de APT StrongPity. Activa desde noviembre de 2021, la campaña ha distribuido una aplicación maliciosa a través de un sitio web que se hace pasar por Shagle, un servicio de video chat que ofrece comunicaciones cifradas entre extraños.
A diferencia del sitio oficial de Shagle, cuyo servicio es basado en la web y que no ofrece una aplicación móvil oficial para acceder a sus servicios, el sitio falso solo proporciona una app de Android para descargar, donde no es posible utilizar el servicio web.
Este ‘backdoor’ de StrongPity tiene varias funciones de espionaje. Sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y otros datos de los usuarios.
Si la víctima habilita a la app maliciosa, uno de sus módulos también tendrá acceso a las notificaciones entrantes, pudiendo exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.
Para distribuir la falsa app con funcionalidades de backdoor, el grupo StrongPity utiliza un sitio web que imita el sitio oficial del servicio Shagle. La aplicación que se descarga del sitio falso es una versión modificada de la aplicación de código abierto Telegram, reempaquetada con el código del backdoor de StrongPity.
ESET atribuye esta amenaza al grupo de APT StrongPity a partir de las similitudes en el código con el backdoor utilizado en una campaña anterior. Además, la aplicación está firmada con un certificado utilizado anteriormente por StrongPity.
Es probable que la campaña apunte a un objetivo muy específico y limitado, ya que la telemetría de ESET aún no identifica a ninguna víctima. Durante la investigación, la versión analizada del malware disponible en el sitio web falso ya no estaba activa. Por lo tanto, no fue posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la aplicación troyanizada de Telegram. Pero eso podría cambiar en cualquier momento si el atacante decide actualizar la aplicación maliciosa.
Esta campaña del grupo StrongPity se basa en un backdoor para Android que se despliega desde un dominio que contiene la palabra “dutch”. Este sitio web se hace pasar por el servicio legítimo llamado Shagle (shagle.com).
“La aplicación falsa de Shagle se alojó en el sitio web que se hacía pasar por el sitio oficial de Shagle, desde el cual las víctimas tenían que elegir descargar e instalar la aplicación. No hubo ningún subterfugio que sugiriera que la aplicación estaba disponible en Google Play y no sabemos cómo las víctimas potenciales fueron atraídas o descubrieron el falso sitio web”, explicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
|
