Die als StrongPity bekannte APT-Gruppe (Advanced Persistent Threat) hat Android-Nutzer mit einer trojanisierten Version der Telegram-App über eine gefälschte Website angegriffen, die sich als Video-Chat-Dienst namens Shagle ausgibt.
„Eine gefälschte Website, die den Shagle-Dienst imitiert, wird verwendet, um die mobile Backdoor-App von StrongPity zu verbreiten“, so ESET Malware-Forscher Luk???? ?tefanko in einem technischen Bericht. „Die App ist eine modifizierte Version der Open-Source-App Telegram, die mit dem StrongPity-Backdoor-Code neu verpackt wurde.
StrongPity, auch bekannt unter den Namen APT-C-41 und Promethium, ist eine Cyberspionagegruppe, die seit mindestens 2012 aktiv ist und sich bei ihren Operationen hauptsächlich auf Syrien und die Türkei konzentriert. Die Existenz der Gruppe wurde erstmals im Oktober 2016 von Kaspersky öffentlich bekannt gegeben.
Seitdem haben sich die Kampagnen der Bedrohungsakteure auf weitere Ziele in Afrika, Asien, Europa und Nordamerika ausgeweitet, wobei die Eindringlinge Watering Hole-Angriffe und Phishing-Nachrichten nutzen, um die Killchain zu aktivieren.
Eines der Hauptmerkmale von StrongPity ist die Nutzung gefälschter Websites, die vorgeben, eine Vielzahl von Software-Tools anzubieten, nur um die Opfer dazu zu bringen, verdorbene Versionen legitimer Apps herunterzuladen.
Im Dezember 2021 enthüllte Minerva Labs eine dreistufige Angriffssequenz, die von der Ausführung einer scheinbar harmlosen Notepad++ Setup-Datei ausgeht, um schließlich eine Backdoor auf infizierte Rechner zu bringen.
Im selben Jahr wurde StrongPity dabei beobachtet, wie es zum ersten Mal eine Android-Malware einschleuste, indem es möglicherweise in das syrische E-Government-Portal eindrang und die offizielle Android-APK-Datei durch ein gefälschtes Gegenstück ersetzte.
Die neuesten Erkenntnisse von ESET zeigen einen ähnlichen Modus Operandi, der darauf abzielt, eine aktualisierte Version der Android-Backdoor-Nutzlast zu verbreiten, die in der Lage ist, Telefonanrufe aufzuzeichnen, den Standort des Geräts zu verfolgen und SMS-Nachrichten, Anrufprotokolle, Kontaktlisten und Dateien zu sammeln.
Wenn du der Malware Zugriffsrechte für Dienste erteilst, kann sie außerdem eingehende Benachrichtigungen und Nachrichten von verschiedenen Apps wie Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber und WeChat abfangen.
Das slowakische Cybersicherheitsunternehmen beschrieb das Implantat als modular und in der Lage, zusätzliche Komponenten von einem entfernten Command-and-Control (C2)-Server herunterzuladen, um die sich verändernden Ziele der StrongPity-Kampagnen zu erreichen.
Die Backdoor-Funktionalität ist in einer legitimen Version der Android-App von Telegram versteckt, die um den 25. Februar 2022 zum Download bereitstand. Die gefälschte Shagle-Website ist jedoch nicht mehr aktiv, obwohl es Hinweise darauf gibt, dass die Aktivitäten aufgrund fehlender Telemetriedaten „sehr zielgerichtet“ sind.
Es gibt auch keinen Hinweis darauf, dass die App im offiziellen Google Play Store veröffentlicht wurde. Es ist derzeit nicht bekannt, wie die potenziellen Opfer auf die gefälschte Website gelockt werden und ob Techniken wie Social Engineering, Suchmaschinenvergiftung oder betrügerische Werbung zum Einsatz kommen.
Es gibt auch keinen Hinweis darauf, dass die App („video.apk„) im offiziellen Google Play Store veröffentlicht wurde. Derzeit ist nicht bekannt, wie die potenziellen Opfer auf die gefälschte Website gelockt werden und ob dabei Techniken wie Social Engineering, Suchmaschinenvergiftung oder betrügerische Werbung zum Einsatz kommen.
„Die bösartige Domain wurde am selben Tag registriert, so dass die gefälschte Website und die gefälschte Shagle-App möglicherweise schon seit diesem Tag zum Download zur Verfügung stehen“, so ?tefanko.
Ein weiterer bemerkenswerter Aspekt des Angriffs ist, dass die manipulierte Version von Telegram denselben Paketnamen wie die echte Telegram-App verwendet, was bedeutet, dass die manipulierte Variante nicht auf einem Gerät installiert werden kann, auf dem Telegram bereits installiert ist.
„Das kann zweierlei bedeuten: Entweder kommuniziert der Bedrohungsakteur zuerst mit den potenziellen Opfern und drängt sie, Telegram von ihren Geräten zu deinstallieren, wenn es bereits installiert ist, oder die Kampagne konzentriert sich auf Länder, in denen Telegram nur selten für die Kommunikation genutzt wird“, so Tefanko.