StrongPity 黑客分发带有后门的应用程序以瞄准 Android 用户

安全
StrongPity组织通过一个冒充的视频聊天服务的虚假网站,以木马化版本的 Telegram 应用程序瞄准 Android 用户。

​名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站,以木马化版本的 Telegram 应用程序瞄准 Android 用户。

“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序,”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本,使用 StrongPity 后门代码重新打包。”

StrongPity,也被称为 APT-C-41 和 Promethium,是一个从 2012 年开始活跃的网络间谍组织,其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。

此后,该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标,入侵利用水坑攻击和网络钓鱼来激活杀伤链。

StrongPity 的主要特征之一是它使用假冒网站,这些网站声称提供各种软件工具,只是为了诱骗受害者下载受感染的应用程序版本。

2021 年 12 月,Minerva Labs披露了一个三阶段攻击序列,该序列源于看似良性的 Notepad++ 安装文件,安装后将后门上传到受感染的主机上。

同年,专家观察到StrongPity 首次部署了一款 Android 恶意软件,它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。

ESET 的最新发现突出了一种类似的作案手法,该作案手法旨在分发更新版本的 Android 后门有效荷载,该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。

此外,授权恶意软件可访问权限使其能够从各种应用程序(如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信)中窃取信息。

此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说,虚假的 Shagle 网站目前不再活跃。

也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。

Štefanko 指出:“恶意域名是在同一天注册的,因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。”

攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同,这意味着后门变体无法安装在已经安装 Telegram 的设备上。

Štefanko 说:“这可能意味攻击者首先诱导受害者,并迫使他们从设备上卸载 Telegram(如果安装了 Telegram),或者该活动的重点是很少使用 Telegram 进行通信的国家。”

参考来源:https://thehackernews.com/2023/01/strongpity-hackers-distribute.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2012-10-23 14:51:38

2012-12-20 10:53:44

2024-08-06 16:10:51

2010-03-18 14:50:55

2024-04-19 13:29:45

2011-09-01 10:23:14

2011-11-25 15:34:33

2022-07-22 11:48:41

恶意软件PlayStoreCoper

2009-06-22 09:06:31

Android用户应用程序

2023-07-07 15:47:03

2009-05-19 09:50:04

.NET部署分发

2012-10-11 09:17:07

2022-09-27 15:16:42

开发Android应用程序

2012-04-25 22:56:10

Android

2011-05-24 16:09:57

Androi

2010-03-03 16:45:46

Android应用程序

2023-02-28 09:25:47

2010-01-25 13:29:53

Android本地应用

2015-03-13 16:19:17

JavaScript原生姿态应用程序

2011-11-03 09:41:35

Android签名安全性
点赞
收藏

51CTO技术栈公众号