名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站,以木马化版本的 Telegram 应用程序瞄准 Android 用户。
“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序,”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本,使用 StrongPity 后门代码重新打包。”
StrongPity,也被称为 APT-C-41 和 Promethium,是一个从 2012 年开始活跃的网络间谍组织,其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。
此后,该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标,入侵利用水坑攻击和网络钓鱼来激活杀伤链。
StrongPity 的主要特征之一是它使用假冒网站,这些网站声称提供各种软件工具,只是为了诱骗受害者下载受感染的应用程序版本。
2021 年 12 月,Minerva Labs披露了一个三阶段攻击序列,该序列源于看似良性的 Notepad++ 安装文件,安装后将后门上传到受感染的主机上。
同年,专家观察到StrongPity 首次部署了一款 Android 恶意软件,它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。
ESET 的最新发现突出了一种类似的作案手法,该作案手法旨在分发更新版本的 Android 后门有效荷载,该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。
此外,授权恶意软件可访问权限使其能够从各种应用程序(如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信)中窃取信息。
此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说,虚假的 Shagle 网站目前不再活跃。
也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。
Štefanko 指出:“恶意域名是在同一天注册的,因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。”
攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同,这意味着后门变体无法安装在已经安装 Telegram 的设备上。
Štefanko 说:“这可能意味攻击者首先诱导受害者,并迫使他们从设备上卸载 Telegram(如果安装了 Telegram),或者该活动的重点是很少使用 Telegram 进行通信的国家。”