Categorie
Sicurezza Informatica

ESET svela l’attività di StrongPity: malevola con l’app Telegram troianizzata

Tempo di lettura: 3 minuti.
  • È la prima volta che i moduli descritti e la loro funzionalità sono stati documentati pubblicamente.
  • La backdoor di StrongPity è modulare e dispone di varie funzioni di spionaggio, come la registrazione delle telefonate, la raccolta di messaggi SMS, la raccolta di elenchi di registri di chiamate e di contatti e molto altro ancora.
  • Se la vittima concede all’app malevola StrongPity l’accesso alle notifiche e ai servizi di accessibilità, il malware è in grado di esfiltrare le comunicazioni da app di messaggistica come Viber, Skype, Gmail, Messenger e Tinder.
  • Un sito web imitativo di Shagle, un servizio di video-chat per adulti, viene utilizzato per distribuire l’app backdoor mobile di StrongPity.
  • L’applicazione è una versione modificata dell’applicazione open-source Telegram, riconfezionata con il codice della backdoor StrongPity.
  • In base alle somiglianze con il precedente codice backdoor di StrongPity e al fatto che l’app è firmata con un certificato di una precedente campagna di StrongPity, attribuiamo questa minaccia al gruppo APT StrongPity.

I ricercatori ESET hanno identificato una campagna attiva del gruppo StrongPity APT che sfrutta una versione completamente funzionante ma troianizzata dell’app legittima Telegram, che nonostante sia inesistente, è stata riconfezionata come “l’app” Shagle. Questa backdoor StrongPity ha diverse funzioni di spionaggio: i suoi 11 moduli attivati dinamicamente sono responsabili della registrazione delle telefonate, della raccolta di messaggi SMS, della raccolta di elenchi di registri delle chiamate e di elenchi di contatti, e molto altro ancora. Questi moduli sono stati documentati pubblicamente per la prima volta. Se la vittima concede all’app malevola StrongPity l’accesso alle notifiche e ai servizi di accessibilità, l’app avrà accesso anche alle notifiche in arrivo da 17 app come Viber, Skype, Gmail, Messenger e Tinder e sarà in grado di esfiltrare le comunicazioni via chat da altre app. La campagna è probabilmente molto circoscritta, dato che la telemetria di ESET non ha ancora identificato alcuna vittima.

A differenza del sito Shagle autentico, interamente basato sul web, che non offre un’app mobile ufficiale per accedere ai suoi servizi, il sito imitatore fornisce solo un’app Android da scaricare, senza possibilità di streaming via web. Questa app di Telegram troianizzata non è mai stata resa disponibile sul Google Play Store. Il codice dannoso, le sue funzionalità, i nomi delle classi e il certificato utilizzato per firmare il file APK sono identici a quelli della campagna precedente; pertanto ESET ritiene con grande sicurezza che questa operazione appartenga al gruppo StrongPity. L’analisi del codice ha rivelato che la backdoor è modulare e che i moduli binari aggiuntivi vengono scaricati dal server C&C. Ciò significa che il numero e il tipo di moduli sono diversi. Ciò significa che il numero e il tipo di moduli utilizzati possono essere modificati in qualsiasi momento per adattarsi alle richieste della campagna, se gestita dal gruppo StrongPity.

“Durante la nostra ricerca, la versione analizzata del malware disponibile sul sito web emulatore non era più attiva e non era più possibile installare e attivare con successo la sua funzionalità di backdoor. Questo perché StrongPity non ha ottenuto il proprio ID API per la sua app Telegram troianizzata. Ma la situazione potrebbe cambiare in qualsiasi momento se l’attore della minaccia decidesse di aggiornare l’app dannosa”, afferma Lukáš Štefanko, il ricercatore ESET che ha analizzato l’app Telegram troianizzata. La versione riconfezionata di Telegram utilizza lo stesso nome di pacchetto dell’app Telegram legittima. I nomi dei pacchetti devono essere ID unici per ogni app Android e devono essere unici su ogni dispositivo. Ciò significa che se l’app ufficiale di Telegram è già installata sul dispositivo di una potenziale vittima, questa versione retrodatata non può essere installata. “Questo potrebbe significare una delle due cose: o l’attore della minaccia comunica prima con le potenziali vittime e le spinge a disinstallare Telegram dai loro dispositivi se è installato, oppure la campagna si concentra su Paesi in cui l’uso di Telegram è raro per la comunicazione”, aggiunge Štefanko.

L’app di StrongPity avrebbe dovuto funzionare proprio come la versione ufficiale per la comunicazione, utilizzando API standard ben documentate sul sito web di Telegram, ma non è più così. Rispetto al primo malware StrongPity scoperto per i cellulari, questa backdoor StrongPity ha funzioni di spionaggio estese, essendo in grado di spiare le notifiche in arrivo e di esfiltrare le comunicazioni via chat, se la vittima concede all’app l’accesso alle notifiche e attiva i servizi di accessibilità.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version