APT StrongPity es un grupo que lanzó una campaña activa desde noviembre de 2021, distribuye desde entones una aplicación no confiable a través de un sitio web. Se trata de una versión maliciosa de Telegram para Android, que se presenta como una app llamada Shagle, un servicio de video chat que no tiene una versión para móviles.
Sin embargo, ESET, compañía de detección de amenazas, alertó en un comunicado que el sitio falso sólo proporciona una aplicación para Androidpara descargar y no es posible utilizar el servicio web.
APT StrongPity tiene varias funciones de espionaje, por ejemplo, sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos, entre otros.
"Si la víctima habilita a la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder", refirió.
¿Cómo funciona el espía en Android?
Para distribuir la falsa app, el grupo StrongPity utiliza un sitio web que imita el sitio oficial del servicio Shagle.
La aplicación que se descarga del sitio falso es una versión modificada de la aplicación de código abierto Telegram, reempaquetada con el código del backdoor de StrongPity.
ESET atribuye esta amenaza al grupo de APT StrongPity a partir de las similitudes en el código con el backdoor utilizado en una campaña anterior y que la aplicación está firmada con un certificado utilizado anteriormente por StrongPity.
El backdoor de StrongPity es modular y tiene varias funciones de espionaje. Todos los módulos binarios necesarios se cifran mediante AES y se descargan de su servidor C&C.
Esta es la primera vez que los módulos descritos y funcionalidad de StrongPity se documentan públicamente.
“La aplicación maliciosa es, de hecho, una versión completamente funcional pero troyana de la aplicación legítima de Telegram. Sin embargo, se presenta como la aplicación de Shagle, la cual no existe. Nos referiremos a esta app como la falsa aplicación de Shagle, la aplicación troyanizada de Telegram o el backdoor de StrongPity. Los productos de ESET detectan esta amenaza como Android/StrongPity.A.”, comenta Camilo Gutiérrez Amaya de ESET Latinoamérica.
La aplicación maliciosa se proporciona directamente desde el sitio web que suplanta la identidad y nunca estuvo disponible en la tienda Google Play.
Es una versión troyanizada de la aplicación legítima Telegram, presentada como si fuera la aplicación Shagle, aunque actualmente no existe una aplicación oficial de Shagle para Android.
“La aplicación falsa de Shagle se alojó en el sitio web que se hacía pasar por el sitio oficial de Shagle, desde el cual las víctimas tenían que elegir descargar e instalar la aplicación. No hubo ningún subterfugio que sugiriera que la aplicación estaba disponible en Google Play y no sabemos cómo las víctimas potenciales fueron atraídas o descubrieron el falso sitio web”, concluye Gutiérrez Amaya de ESET.
MRA