Analytici společnosti ESET objevili novou kampaň skupiny StrongPity, kterou skupina distribuuje pomocí plně funkční, ale trojanizované aplikace Telegram. Poprvé se tak podařilo popsat moduly využité při útoku a jejich funkčnost veřejně zdokumentovat. Backdoor, kterým skupina útočí, funguje modulárně a má řadu špionážních funkcí. Pokud oběť udělí škodlivé aplikaci přístup k oznámením a službám přístupnosti, malware je schopen také exfiltrovat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření trojanizované aplikace pak skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé. V Česku tato útočná kampaň není aktuálně detekována.
„Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací,“ popisuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci.
Škodlivý kód, jeho funkčnost, názvy tříd i certifikát použitý k podepsání APK souboru jsou totožné s jinou předchozí kampaní, bezpečnostní experti se proto s velkou jistotou domnívají, že pod touto operací je podepsána právě skupina StrongPity. Analýza kódu také odhalila, že backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu.
„Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ říká Jirkal.
Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat. „To může znamenat dvě věci – buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné,“ dodává Jirkal.