StrongPity 黑客分发带有后门的应用程序以瞄准 Android 用户
2023-1-25 09:2:23 Author: FreeBuf(查看原文) 阅读量:6 收藏

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站,以木马化版本的 Telegram 应用程序瞄准 Android 用户。

“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序,”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本,使用 StrongPity 后门代码重新打包。”

StrongPity,也被称为 APT-C-41 和 Promethium,是一个从 2012 年开始活跃的网络间谍组织,其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。

此后,该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标,入侵利用水坑攻击和网络钓鱼来激活杀伤链。

StrongPity 的主要特征之一是它使用假冒网站,这些网站声称提供各种软件工具,只是为了诱骗受害者下载受感染的应用程序版本。

2021 年 12 月,Minerva Labs披露了一个三阶段攻击序列,该序列源于看似良性的 Notepad++ 安装文件,安装后将后门上传到受感染的主机上。

同年,专家观察到StrongPity 首次部署了一款 Android 恶意软件,它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。

ESET 的最新发现突出了一种类似的作案手法,该作案手法旨在分发更新版本的 Android 后门有效荷载,该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。

此外,授权恶意软件可访问权限使其能够从各种应用程序(如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信)中窃取信息。

此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说,虚假的 Shagle 网站目前不再活跃。

也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。

Štefanko 指出:“恶意域名是在同一天注册的,因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。”

攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同,这意味着后门变体无法安装在已经安装 Telegram 的设备上。

Štefanko 说:“这可能意味攻击者首先诱导受害者,并迫使他们从设备上卸载 Telegram(如果安装了 Telegram),或者该活动的重点是很少使用 Telegram 进行通信的国家。”

参考来源:

https://thehackernews.com/2023/01/strongpity-hackers-distribute.html

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651214313&idx=2&sn=2cafa749957b2dfc5b5a89c478c79c4c&chksm=bd1dc3628a6a4a742add9e95039458c275ca81d82d0e0e3cb34af326d3ffce2b2b3970be0c99#rd
如有侵权请联系:admin#unsafe.sh