StrongPity-Spionagekampagne für Android-Nutzer

ESET-Forscher haben eine aktive Kampagne identifiziert, die wir der StrongPity APT-Gruppe zugeschrieben haben. Die seit November 2021 aktive Kampagne hat eine bösartige App über eine Website verbreitet, die sich als Shagle ausgibt – ein zufälliger Video-Chat-Dienst, der verschlüsselte Kommunikation zwischen Fremden ermöglicht. Anders als die vollständig webbasierte, echte Shagle-Site, die keine offizielle mobile App für den Zugriff auf ihre Dienste anbietet, bietet die Nachahmer-Site nur eine Android-App zum Herunterladen und kein webbasiertes Streaming ist möglich.

Die bösartige App ist tatsächlich eine voll funktionsfähige, aber von Trojanern befallene Version der legitimen Telegram-App, die jedoch als nicht existierende Shagle-App präsentiert wird. Wir werden es im Rest dieses Blogposts als gefälschte Shagle-App, trojanisierte Telegram-App oder StrongPity-Hintertür bezeichnen. ESET-Produkte erkennen diese Bedrohung als Android/StrongPity.A.

Diese StrongPity-Hintertür verfügt über verschiedene Spionagefunktionen: Ihre 11 dynamisch ausgelösten Module sind für die Aufzeichnung von Telefonanrufen, das Sammeln von SMS-Nachrichten, Listen von Anrufprotokollen, Kontaktlisten und vieles mehr verantwortlich. Diese Module werden erstmals dokumentiert. Wenn das Opfer den bösartigen Zugangsdiensten der StrongPity-App gewährt, hat eines seiner Module auch Zugriff auf eingehende Benachrichtigungen und kann die Kommunikation von 17 Apps wie Viber, Skype, Gmail, Messenger und Tinder exfiltrieren.

Die Kampagne ist wahrscheinlich sehr eng ausgerichtet, da die ESET-Telemetrie immer noch keine Opfer identifiziert. Während unserer Recherche war die analysierte Version der auf der Nachahmer-Website verfügbaren Malware nicht mehr aktiv und es war nicht mehr möglich, sie erfolgreich zu installieren und ihre Backdoor-Funktionalität auszulösen, da StrongPity keine eigene API-ID für seine trojanisierte Telegram-App erhalten hat. Dies kann sich jedoch jederzeit ändern, sollte der Bedrohungsakteur beschließen, die bösartige App zu aktualisieren.

Überblick

Diese StrongPity-Kampagne dreht sich um eine Android-Hintertür, die von einer Domain bereitgestellt wird, die das Wort „Dutch“ enthält. Diese Website imitiert den legitimen Dienst namens Shagle at unterstützt. In Abbildung 1 sehen Sie die Startseiten beider Websites. Die bösartige App wird direkt von der imitierenden Website bereitgestellt und wurde nie im Google Play Store zur Verfügung gestellt. Es ist eine trojanisierte Version der legitimen Telegram-App, die so präsentiert wird, als wäre es die Shagle-App, obwohl es derzeit keine offizielle Shagle-Android-App gibt.

Wie Sie in Abbildung 2 sehen können, enthält der HTML-Code der gefälschten Website Beweise dafür, dass er von der legitimen kopiert wurde unterstützt Seite am 1^st, 2021, mit dem automatisierten Tool HTTrack. Die bösartige Domain wurde am selben Tag registriert, sodass die Nachahmerseite und die gefälschte Shagle-App möglicherweise seit diesem Datum zum Download verfügbar waren.

Victimology

Am 18. Juli XNUMX^th2022 wurde eine unserer YARA-Regeln bei VirusTotal ausgelöst, als eine bösartige App einen Link zu einer Website imitierte unterstützt wurden hochgeladen. Gleichzeitig wurden wir benachrichtigt Twitter über diese Probe, obwohl es irrtümlich war Bahamut zugeschrieben. ESET-Telemetriedaten identifizieren immer noch keine Opfer, was darauf hindeutet, dass die Kampagne wahrscheinlich eng zielgerichtet war.

Anrechnung

Das von der Nachahmer-Website Shagle vertriebene APK ist mit demselben Code-Signing-Zertifikat (siehe Abbildung 3) signiert wie eine trojanisierte syrische E-Government-App, die 2021 entdeckt wurde Trend Micro, die auch StrongPity zugeschrieben wurde.

Bösartiger Code in der gefälschten Shagle-App wurde in der vorherigen Mobilkampagne von StrongPity gesehen und implementiert eine einfache, aber funktionale Hintertür. Wir haben gesehen, dass dieser Code nur in Kampagnen verwendet wird, die von StrongPity durchgeführt werden. In Abbildung 4 sehen Sie einige der hinzugefügten bösartigen Klassen, wobei viele der verschleierten Namen sogar im Code beider Kampagnen identisch sind.

Vergleich des Backdoor-Codes dieser Kampagne mit dem der trojanisierten syrischen E-Government-App (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), verfügt über eine erweiterte Funktionalität, wobei jedoch derselbe Code verwendet wird, um ähnliche Funktionen bereitzustellen. In Abbildung 5 und Abbildung 6 können Sie den Code aus beiden Beispielen vergleichen, der für das Senden von Nachrichten zwischen Komponenten verantwortlich ist. Diese Nachrichten sind für das Auslösen des böswilligen Verhaltens der Hintertür verantwortlich. Daher glauben wir fest daran, dass die gefälschte Shagle-App mit der StrongPity-Gruppe verbunden ist.

Technische Analyse

Erster Zugriff

Wie im Abschnitt „Übersicht“ dieses Blogposts beschrieben, wurde die gefälschte Shagle-App auf der Shagle-Nachahmer-Website gehostet, von der die Opfer die App herunterladen und installieren mussten. Es gab keinen Vorwand, dass die App bei Google Play erhältlich war, und wir wissen nicht, wie potenzielle Opfer auf die gefälschte Website gelockt oder anderweitig entdeckt wurden.

Werkzeugsatz

Laut Beschreibung auf der Nachahmer-Website ist die App kostenlos und dazu gedacht, neue Leute kennenzulernen und mit ihnen zu chatten. Die heruntergeladene App ist jedoch eine böswillig gepatchte Telegram-App, insbesondere Telegram-Version 7.5.0 (22467), die um den 25. Februar zum Download verfügbar war^th 2022.

Die neu verpackte Version von Telegram verwendet denselben Paketnamen wie die legitime Telegram-App. Paketnamen sollen eindeutige IDs für jede Android-App sein und müssen auf jedem Gerät eindeutig sein. Das bedeutet, dass, wenn die offizielle Telegram-App bereits auf dem Gerät eines potenziellen Opfers installiert ist, diese Backdoor-Version nicht installiert werden kann; siehe Abbildung 7. Dies kann eines von zwei Dingen bedeuten – entweder kommuniziert der Bedrohungsakteur zuerst mit potenziellen Opfern und drängt sie, Telegram von ihren Geräten zu deinstallieren, falls es installiert ist, oder die Kampagne konzentriert sich auf Länder, in denen Telegram für die Kommunikation selten genutzt wird.

Die trojanisierte Telegram-App von StrongPity sollte genauso funktionieren wie die offizielle Version für die Kommunikation, unter Verwendung von Standard-APIs, die auf der Telegram-Website gut dokumentiert sind – aber die App funktioniert nicht mehr, daher können wir das nicht überprüfen.

Während unserer Recherche war die aktuelle Version der auf der Nachahmer-Website verfügbaren Malware nicht mehr aktiv und es war nicht mehr möglich, sie erfolgreich zu installieren und ihre Backdoor-Funktionalität auszulösen. Als wir versuchten, uns mit unserer Telefonnummer anzumelden, konnte die neu verpackte Telegram-App die API-ID nicht vom Server abrufen und funktionierte daher nicht richtig. Wie in Abbildung 8 zu sehen, zeigte die App eine an API_ID_PUBLISHED_FLOOD Fehler.

Basierend auf Telegrams Fehlerdokumentation, es scheint, dass StrongPity keine eigene API-ID erhalten hat. Stattdessen hat es die im Open-Source-Code von Telegram enthaltene Beispiel-API-ID für erste Testzwecke verwendet. Telegram überwacht die API-ID-Nutzung und schränkt die Beispiel-API-ID ein, sodass ihre Verwendung in einer veröffentlichten App zu dem in Abbildung 8 gezeigten Fehler führt. Aufgrund des Fehlers ist es nicht mehr möglich, sich anzumelden und die App zu verwenden oder ihre schädlichen Funktionen auszulösen . Dies könnte bedeuten, dass die StrongPity-Betreiber dies nicht durchdacht haben, oder vielleicht war genug Zeit, um die Opfer zwischen der Veröffentlichung der App und der Deaktivierung durch Telegram wegen übermäßiger Nutzung der APP-ID auszuspionieren. Da nie eine neue und funktionierende Version der App über die Website verfügbar gemacht wurde, könnte dies darauf hindeuten, dass StrongPity die Malware erfolgreich an den gewünschten Zielen eingesetzt hat.

Infolgedessen war die gefälschte Shagle-App, die zum Zeitpunkt unserer Recherche auf der gefälschten Website verfügbar war, nicht mehr aktiv. Dies kann sich jedoch jederzeit ändern, sollten die Bedrohungsakteure beschließen, die bösartige App zu aktualisieren.

Komponenten und erforderliche Berechtigungen des StrongPity-Backdoor-Codes werden an die Telegram-Apps angehängt AndroidManifest.xml Datei. Wie in Abbildung 9 zu sehen ist, lässt sich so leicht erkennen, welche Berechtigungen für die Malware notwendig sind.

Aus dem Android-Manifest können wir sehen, dass bösartige Klassen in der hinzugefügt wurden org.telegram.messenger Paket als Teil der Original-App erscheinen.

Die anfängliche Schadfunktionalität wird durch einen von drei Broadcast-Empfängern ausgelöst, die nach definierten Aktionen ausgeführt werden – BOOT_ABGESCHLOSSEN, AKKU FAST LEER, oder USER_PRÄSENT. Nach dem ersten Start registriert es dynamisch weitere Broadcast-Empfänger zur Überwachung BILDSCHIRM AN, ABBLENDEN und KONNEKTIVITÄT_ÄNDERUNG Veranstaltungen. Die gefälschte Shagle-App verwendet dann IPC (Interprozesskommunikation), um zwischen ihren Komponenten zu kommunizieren und verschiedene Aktionen auszulösen. Es kontaktiert den C&C-Server über HTTPS, um grundlegende Informationen über das kompromittierte Gerät zu senden, und erhält eine AES-verschlüsselte Datei mit 11 binären Modulen, die dynamisch von der übergeordneten App ausgeführt werden; siehe Abbildung 10. Wie in Abbildung 11 zu sehen, werden diese Module im internen Speicher der App gespeichert. /data/user/0/org.telegram.messenger/files/.li/.

Jedes Modul ist für eine andere Funktionalität verantwortlich. Die Liste der Modulnamen wird in lokalen freigegebenen Einstellungen im gespeichert sharedconfig.xml Datei; siehe Abbildung 12.

Module werden bei Bedarf dynamisch von der übergeordneten App ausgelöst. Jedes Modul hat seinen eigenen Modulnamen und ist für verschiedene Funktionen verantwortlich, wie z. B.:

• libarm.jar (cm-Modul) – zeichnet Telefongespräche auf
• libmpeg4.jar (nt-Modul) – sammelt Text eingehender Benachrichtigungen von 17 Apps
• local.jar (FM/FP-Modul) – sammelt Dateiliste (Dateibaum) auf dem Gerät
• phone.jar (MS-Modul) – missbraucht Eingabehilfen, um Messaging-Apps auszuspionieren, indem Kontaktname, Chat-Nachricht und Datum exfiltriert werden
• Ressourcen.jar (SM-Modul) – sammelt SMS-Nachrichten, die auf dem Gerät gespeichert sind
• Services.jar (lo module) – ermittelt den Gerätestandort
• systemui.jar (sy-Modul) – sammelt Geräte- und Systeminformationen
• timer.jar (ia module) – sammelt eine Liste der installierten Apps
• toolkit.jar (cn-Modul) – sammelt Kontaktliste
• watchkit.jar (ac module) – sammelt eine Liste von Gerätekonten
• wearkit.jar (cl-Modul) – sammelt eine Liste von Anrufprotokollen

Alle erhaltenen Daten werden im Clear In gespeichert /data/user/0/org.telegram.messenger/databases/outdata, bevor sie mit AES verschlüsselt und an den C&C-Server gesendet werden, wie Sie in Abbildung 13 sehen können.

Diese StrongPity-Hintertür verfügt im Vergleich zur ersten StrongPity-Version, die für Mobilgeräte entdeckt wurde, über erweiterte Spionagefunktionen. Es kann das Opfer auffordern, Zugänglichkeitsdienste zu aktivieren und Zugang zu Benachrichtigungen zu erhalten; siehe Abbildung 14. Wenn das Opfer sie aktiviert, spioniert die Malware eingehende Benachrichtigungen aus und missbraucht Barrierefreiheitsdienste, um die Chat-Kommunikation aus anderen Apps auszuschleusen.

Abbildung 14. Malware-Anforderungen des Opfers, Benachrichtigungszugriff und Zugänglichkeitsdienste

Mit Benachrichtigungszugriff kann die Malware empfangene Benachrichtigungen lesen, die von 17 gezielten Apps stammen. Hier ist eine Liste ihrer Paketnamen:

• Messenger (com.facebook.orca)
• Messenger Lite (com.facebook.mlite)
• Viber – Sichere Chats und Anrufe (com.viber.voip)
• Skype (com.skype.raider)
• LEITUNG: Anrufe & Nachrichten (jp.naver.line.android)
• Kik – Nachrichten- und Chat-App (kik.android)
• Tango-Live-Stream & Video-Chat (com.sgiggle.produktion)
• Hangouts (com.google.android.talk)
• Telegramm (org.telegram.messenger)
• WeChat (com.tencent.mm)
• Snapchat (com.snapchat.android)
• Tinder (com.tinder)
• Wander-News & Inhalte (com.bsb.hike)
• instagramm (com.instagram.android)
• Twitter (com.twitter.android)
• Gmail (com.google.android.gm)
• imo-Internationale Anrufe & Chat (com.imo.android.imoim)

Wenn das Gerät bereits gerootet ist, versucht die Malware im Hintergrund, Berechtigungen zu erteilen WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, um Barrierefreiheitsdienste zu aktivieren und Benachrichtigungszugriff zu gewähren. Die StrongPity-Hintertür versucht dann, die SecurityLogAgent-App zu deaktivieren (com.samsung.android.securitylogagent), die eine offizielle System-App ist, die zum Schutz der Sicherheit von Samsung-Geräten beiträgt und alle App-Benachrichtigungen von der Malware selbst deaktiviert, die dem Opfer in Zukunft bei App-Fehlern, Abstürzen oder Warnungen angezeigt werden könnten. Die Backdoor von StrongPity selbst versucht nicht, ein Gerät zu rooten.

Der AES-Algorithmus verwendet den CBC-Modus und fest codierte Schlüssel, um die heruntergeladenen Module zu entschlüsseln:

• AES-Schlüssel – aaanichts unmöglichbbb
• AES IV – aaanichts impos

Zusammenfassung

Die von der StrongPity APT-Gruppe betriebene mobile Kampagne gab sich als legitimer Dienst aus, um seine Android-Hintertür zu verbreiten. StrongPity hat die offizielle Telegram-App neu verpackt, um eine Variante des Backdoor-Codes der Gruppe einzuschließen.

Dieser bösartige Code, seine Funktionalität, Klassennamen und das zum Signieren der APK-Datei verwendete Zertifikat sind die gleichen wie bei der vorherigen Kampagne; Daher glauben wir mit großer Zuversicht, dass dieser Betrieb zur StrongPity-Gruppe gehört.

Zum Zeitpunkt unserer Recherche war das auf der Nachahmer-Website verfügbare Beispiel aufgrund von deaktiviert API_ID_PUBLISHED_FLOOD Fehler, der dazu führt, dass bösartiger Code nicht ausgelöst wird und potenzielle Opfer möglicherweise die nicht funktionierende App von ihren Geräten entfernen.

Die Codeanalyse zeigt, dass die Hintertür modular aufgebaut ist und zusätzliche binäre Module vom C&C-Server heruntergeladen werden. Das bedeutet, dass die Anzahl und Art der eingesetzten Module bei Betrieb durch die StrongPity-Gruppe jederzeit an die Kampagnenwünsche angepasst werden kann.

Basierend auf unserer Analyse scheint dies die zweite Version der Android-Malware von StrongPity zu sein; Im Vergleich zu seiner ersten Version missbraucht es auch Zugänglichkeitsdienste und Benachrichtigungszugriff, speichert gesammelte Daten in einer lokalen Datenbank und versucht auszuführen su Befehle und verwendet für die meisten Datensammlungen heruntergeladene Module.

IoCs

Mappen

SHA-1	Dateiname	Name der ESET-Erkennung	Beschreibung
50F79C7DFABECF04522AEB2AC987A800AB5EC6D7	video.apk	Android/StrongPity.A	StrongPity-Hintertür (legitime Android-Telegram-App, neu verpackt mit bösartigem Code).
77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91	libarm.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für die Aufzeichnung von Telefonanrufen verantwortlich ist.
5A15F516D5C58B23E19D6A39325B4B5C5590BDE0	libmpeg4.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln von Text empfangener Benachrichtigungen verantwortlich ist.
D44818C061269930E50868445A3418A0780903FE	local.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln einer Dateiliste auf dem Gerät verantwortlich ist.
F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE	phone.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für den Missbrauch von Barrierefreiheitsdiensten verantwortlich ist, um andere Apps auszuspionieren.
3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E	Ressourcen.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln von auf dem Gerät gespeicherten SMS-Nachrichten verantwortlich ist.
5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7	Services.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für die Ermittlung des Gerätestandorts verantwortlich ist.
BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0	systemui.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln von Geräte- und Systeminformationen verantwortlich ist.
ED02E16F0D57E4AD2D58F95E88356C17D6396658	timer.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln einer Liste installierter Apps verantwortlich ist.
F754874A76E3B75A5A5C7FE849DDAE318946973B	toolkit.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln der Kontaktliste verantwortlich ist.
E46B76CADBD7261FE750DBB9B0A82F262AFEB298	watchkit.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln einer Liste von Gerätekonten verantwortlich ist.
D9A71B13D3061BE12EE4905647DDC2F1189F00DE	wearkit.jar	Android/StrongPity.A	StrongPity-Mobilmodul, das für das Sammeln einer Liste von Anrufprotokollen verantwortlich ist.

Netzwerk

IP	Provider	Zum ersten Mal gesehen	Details
141.255.161[.]185	NameCheap	2022-07-28	intagrefedCircuitchip[.]com C & C
185.12.46[.]138	Schweinebrötchen	2020-04-21	networksoftwaresegment[.]com C & C

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit erstellt Version 12 des MITRE ATT&CK-Frameworks.

Taktik	ID	Name und Vorname	Beschreibung
Beharrlichkeit	T1398	Boot- oder Logon-Initialisierungsskripte	Die StrongPity-Hintertür empfängt die BOOT_ABGESCHLOSSEN Sendeabsicht zur Aktivierung beim Gerätestart.
	T1624.001	Ereignisgesteuerte Ausführung: Broadcast-Empfänger	Die Backdoor-Funktionalität von StrongPity wird ausgelöst, wenn eines dieser Ereignisse eintritt: AKKU FAST LEER, USER_PRÄSENT, BILDSCHIRM AN, ABBLENDEN, oder KONNEKTIVITÄT_ÄNDERUNG.
Verteidigungsflucht	T1407	Neuen Code zur Laufzeit herunterladen	Die StrongPity-Hintertür kann zusätzliche Binärmodule herunterladen und ausführen.
	T1406	Verschleierte Dateien oder Informationen	Die StrongPity-Hintertür verwendet AES-Verschlüsselung, um heruntergeladene Module zu verschleiern und Zeichenfolgen in ihrer APK zu verbergen.
	T1628.002	Artefakte ausblenden: Benutzerumgehung	Die StrongPity-Hintertür kann alle App-Benachrichtigungen deaktivieren, die von der Malware selbst kommen, um ihre Anwesenheit zu verbergen.
	T1629.003	Verteidigung beeinträchtigen: Werkzeuge deaktivieren oder modifizieren	Wenn die StrongPity-Hintertür Root hat, deaktiviert sie SecurityLogAgent (com.samsung.android.securitylogagent) Falls vorhanden.
Angewandte F&E	T1420	Datei- und Verzeichniserkennung	Die StrongPity-Hintertür kann verfügbare Dateien auf einem externen Speicher auflisten.
	T1418	Softwareerkennung	Die StrongPity-Hintertür kann eine Liste der installierten Anwendungen abrufen.
	T1422	Ermittlung der Systemnetzwerkkonfiguration	Die StrongPity-Hintertür kann IMEI, IMSI, IP-Adresse, Telefonnummer und Land extrahieren.
	T1426	Systeminformationserkennung	Die StrongPity-Hintertür kann Informationen über das Gerät extrahieren, einschließlich Art der Internetverbindung, SIM-Seriennummer, Geräte-ID und allgemeine Systeminformationen.
Sammlung	T1417.001	Eingabeerfassung: Keylogging	Die StrongPity-Hintertür protokolliert Tastenanschläge in Chat-Nachrichten und Anrufdaten von gezielten Apps.
	T1517	Zugriffsbenachrichtigungen	Die StrongPity-Hintertür kann Benachrichtigungen von 17 gezielten Apps sammeln.
	T1532	Gesammelte Daten archivieren	Die Backdoor von StrongPity verschlüsselt exfiltrierte Daten mit AES.
	T1430	Location-Tracking	Die StrongPity-Hintertür verfolgt den Gerätestandort.
	T1429	Audio-Capture	Die Backdoor von StrongPity kann Telefongespräche aufzeichnen.
	T1513	Screen Capture	Die StrongPity-Hintertür kann den Gerätebildschirm mithilfe von aufzeichnen MediaProjectionManager API.
	T1636.002	Geschützte Benutzerdaten: Anrufprotokolle	Die StrongPity-Hintertür kann Anrufprotokolle extrahieren.
	T1636.003	Geschützte Benutzerdaten: Kontaktliste	Die StrongPity-Hintertür kann die Kontaktliste des Geräts extrahieren.
	T1636.004	Geschützte Benutzerdaten: SMS-Nachrichten	Die Backdoor von StrongPity kann SMS-Nachrichten extrahieren.
Command and Control	T1437.001	Application Layer Protocol: Webprotokolle	Die StrongPity-Hintertür verwendet HTTPS, um mit ihrem C&C-Server zu kommunizieren.
	T1521.001	Verschlüsselter Kanal: Symmetrische Kryptographie	Die StrongPity-Hintertür verwendet AES, um ihre Kommunikation zu verschlüsseln.
Exfiltration	T1646	Exfiltration über C2-Kanal	Die Backdoor von StrongPity exfiltriert Daten über HTTPS.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/