Οι ερευνητές της ESET εντόπισαν μια ενεργή καμπάνια StrongPity που διανέμει μια trojanized έκδοση της εφαρμογής Android Telegram, που παρουσιάζεται ως η εφαρμογή Shagle - μια υπηρεσία συνομιλίας μέσω βίντεο που δεν έχει έκδοση εφαρμογής
Οι ερευνητές της ESET εντόπισαν μια ενεργή καμπάνια που έχουμε αποδώσει στην ομάδα StrongPity APT. Ενεργή από τον Νοέμβριο του 2021, η καμπάνια έχει διανείμει μια κακόβουλη εφαρμογή μέσω ενός ιστότοπου που υποδύεται το Shagle – μια υπηρεσία τυχαίας συνομιλίας βίντεο που παρέχει κρυπτογραφημένες επικοινωνίες μεταξύ αγνώστων. Σε αντίθεση με τον εξ ολοκλήρου διαδικτυακό, γνήσιο ιστότοπο Shagle που δεν προσφέρει επίσημη εφαρμογή για κινητά για πρόσβαση στις υπηρεσίες του, ο ιστότοπος copycat παρέχει μόνο μια εφαρμογή Android για λήψη και δεν είναι δυνατή η ροή μέσω web.
- Μόνο μία άλλη καμπάνια Android έχει αποδοθεί στο παρελθόν στο StrongPity.
- Αυτή είναι η πρώτη φορά που οι περιγραφόμενες ενότητες και η λειτουργικότητά τους τεκμηριώνονται δημόσια.
- Ένας ιστότοπος αντιγραφής, που μιμείται την υπηρεσία Shagle, χρησιμοποιείται για τη διανομή της εφαρμογής backdoor για κινητά του StrongPity.
- Η εφαρμογή είναι μια τροποποιημένη έκδοση της εφαρμογής ανοιχτού κώδικα Telegram, η οποία είναι ανασυσκευασμένη με τον κώδικα backdoor StrongPity.
- Με βάση τις ομοιότητες με τον προηγούμενο κώδικα backdoor του StrongPity και την υπογραφή της εφαρμογής με πιστοποιητικό από προηγούμενη καμπάνια StrongPity, αποδίδουμε αυτήν την απειλή στην ομάδα StrongPity APT.
- Η κερκόπορτα του StrongPity είναι αρθρωτή, όπου όλες οι απαραίτητες δυαδικές μονάδες κρυπτογραφούνται με χρήση AES και λαμβάνονται από τον διακομιστή C&C του, και διαθέτει διάφορες δυνατότητες κατασκοπείας.
Η κακόβουλη εφαρμογή είναι, στην πραγματικότητα, μια πλήρως λειτουργική αλλά trojanized έκδοση της νόμιμης εφαρμογής Telegram, ωστόσο, παρουσιάζεται ως η ανύπαρκτη εφαρμογή Shagle. Θα το αναφέρουμε ως την ψεύτικη εφαρμογή Shagle, την trojanized εφαρμογή Telegram ή την κερκόπορτα StrongPity στο υπόλοιπο αυτής της ανάρτησης ιστολογίου. Τα προϊόντα της ESET εντοπίζουν αυτήν την απειλή ως Android/StrongPity.A.
Αυτή η κερκόπορτα του StrongPity έχει διάφορες δυνατότητες κατασκοπείας: οι 11 μονάδες που ενεργοποιούνται δυναμικά είναι υπεύθυνες για την εγγραφή τηλεφωνικών κλήσεων, τη συλλογή μηνυμάτων SMS, τις λίστες αρχείων καταγραφής κλήσεων, τις λίστες επαφών και πολλά άλλα. Αυτές οι ενότητες τεκμηριώνονται για πρώτη φορά. Εάν το θύμα παραχωρήσει τις κακόβουλες υπηρεσίες προσβασιμότητας της εφαρμογής StrongPity, μία από τις μονάδες του θα έχει επίσης πρόσβαση στις εισερχόμενες ειδοποιήσεις και θα μπορεί να διεισδύει στην επικοινωνία από 17 εφαρμογές όπως το Viber, το Skype, το Gmail, το Messenger καθώς και το Tinder.
Η εκστρατεία είναι πιθανότατα πολύ στενά στοχευμένη, καθώς η τηλεμετρία της ESET εξακολουθεί να μην εντοπίζει θύματα. Κατά τη διάρκεια της έρευνάς μας, η αναλυόμενη έκδοση κακόβουλου λογισμικού που διατίθεται από τον ιστότοπο copycat δεν ήταν πλέον ενεργή και δεν ήταν πλέον δυνατή η επιτυχής εγκατάσταση του και η ενεργοποίηση της λειτουργίας του backdoor, επειδή το StrongPity δεν έχει αποκτήσει το δικό του αναγνωριστικό API για την trojanized εφαρμογή Telegram. Αλλά αυτό μπορεί να αλλάξει ανά πάσα στιγμή εάν ο παράγοντας απειλής αποφασίσει να ενημερώσει την κακόβουλη εφαρμογή.
Επισκόπηση
Αυτή η καμπάνια StrongPity επικεντρώνεται σε μια κερκόπορτα Android που παρέχεται από έναν τομέα που περιέχει τη λέξη "ολλανδικά". Αυτός ο ιστότοπος υποδύεται τη νόμιμη υπηρεσία που ονομάζεται Shagle at shagle.com. Στην Εικόνα 1 μπορείτε να δείτε τις αρχικές σελίδες και των δύο ιστοσελίδων. Η κακόβουλη εφαρμογή παρέχεται απευθείας από τον ιστότοπο που πλαστοπροσωπεί και δεν έχει γίνει ποτέ διαθέσιμη από το Google Play store. Πρόκειται για μια trojanized έκδοση της νόμιμης εφαρμογής Telegram, που παρουσιάζεται σαν να ήταν η εφαρμογή Shagle, αν και δεν υπάρχει επί του παρόντος επίσημη εφαρμογή Shagle Android.
Εικόνα 1. Σύγκριση της νόμιμης ιστοσελίδας στα αριστερά και της αντιγραφής στα δεξιά
Όπως μπορείτε να δείτε στο Σχήμα 2, ο κώδικας HTML του πλαστού ιστότοπου περιλαμβάνει στοιχεία ότι αντιγράφηκε από το νόμιμο shagle.com site την 1η Νοεμβρίουst, 2021, χρησιμοποιώντας το αυτοματοποιημένο εργαλείο HTTPtrack. Ο κακόβουλος τομέας καταχωρήθηκε την ίδια ημέρα, επομένως ο ιστότοπος αντιγραφής και η ψεύτικη εφαρμογή Shagle ενδέχεται να ήταν διαθέσιμα για λήψη από εκείνη την ημερομηνία.
Εικόνα 2. Αρχεία καταγραφής που δημιουργούνται από το εργαλείο HTTrack που καταγράφονται στον κώδικα HTML του ψεύτικο ιστότοπου
Victimology
Τον Ιούλιο 18th, 2022, ένας από τους κανόνες YARA στο VirusTotal ενεργοποιήθηκε όταν μια κακόβουλη εφαρμογή και ένας σύνδεσμος προς έναν ιστότοπο που μιμείται shagle.com ανέβηκαν. Παράλληλα, ενημερωθήκαμε για Twitter σχετικά με αυτό το δείγμα, αν και ήταν λάθος αποδίδεται στο Μπαχαμούτ. Τα δεδομένα τηλεμετρίας της ESET εξακολουθούν να μην ταυτοποιούν θύματα, υποδηλώνοντας ότι η εκστρατεία είναι πιθανό να έχει στοχοποιηθεί στενά.
απόδοση
Το APK που διανέμεται από τον ιστότοπο copycat Shagle είναι υπογεγραμμένο με το ίδιο πιστοποιητικό υπογραφής κωδικού (βλ. Εικόνα 3) με μια τρωική εφαρμογή e-gov της Συρίας που ανακαλύφθηκε το 2021 από Trend Micro, το οποίο επίσης αποδόθηκε στο StrongPity.
Εικόνα 3. Αυτό το πιστοποιητικό υπέγραφε την ψεύτικη εφαρμογή Shagle και την τρωανοποιημένη εφαρμογή e-gov της Συρίας
Κακόβουλος κώδικας στην ψεύτικη εφαρμογή Shagle εμφανίστηκε στην προηγούμενη καμπάνια για κινητά από το StrongPity και υλοποιεί μια απλή, αλλά λειτουργική, κερκόπορτα. Έχουμε δει αυτόν τον κώδικα να χρησιμοποιείται μόνο σε καμπάνιες που διεξάγονται από το StrongPity. Στην Εικόνα 4 μπορείτε να δείτε μερικές από τις προστιθέμενες κακόβουλες κλάσεις με πολλά από τα ασαφή ονόματα να είναι ακόμη και τα ίδια στον κώδικα και από τις δύο καμπάνιες.
Εικόνα 4. Σύγκριση ονόματος τάξης της τρωανισμένης εφαρμογής e-gov της Συρίας (αριστερά) και της τρωανισμένης εφαρμογής Telegram (δεξιά)
Συγκρίνοντας τον κώδικα κερκόπορτας από αυτήν την καμπάνια με αυτόν από την τρωανοποιημένη εφαρμογή e-gov της Συρίας (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), έχει εκτεταμένη λειτουργικότητα αλλά με τον ίδιο κωδικό που χρησιμοποιείται για την παροχή παρόμοιων λειτουργιών. Στο Σχήμα 5 και στο Σχήμα 6 μπορείτε να συγκρίνετε τον κώδικα και από τα δύο δείγματα που είναι υπεύθυνος για την αποστολή μηνυμάτων μεταξύ των στοιχείων. Αυτά τα μηνύματα είναι υπεύθυνα για την ενεργοποίηση της κακόβουλης συμπεριφοράς του backdoor. Ως εκ τούτου, πιστεύουμε ακράδαντα ότι η ψεύτικη εφαρμογή Shagle συνδέεται με την ομάδα StrongPity.
Εικόνα 5. Αποστολέας μηνυμάτων υπεύθυνος για την ενεργοποίηση κακόβουλης λειτουργίας στην trojanized συριακή εφαρμογή e-gov
Εικόνα 6. Αποστολέας μηνυμάτων υπεύθυνος για την ενεργοποίηση κακόβουλης λειτουργίας στην ψεύτικη εφαρμογή Shagle
Τεχνική ανάλυση
Αρχική πρόσβαση
Όπως περιγράφεται στην ενότητα Επισκόπηση αυτής της ανάρτησης ιστολογίου, η ψεύτικη εφαρμογή Shagle φιλοξενήθηκε στον ιστότοπο Shagle copycat, από τον οποίο τα θύματα έπρεπε να επιλέξουν να κατεβάσουν και να εγκαταστήσουν την εφαρμογή. Δεν υπήρξε καμία παρενόχληση που να υποδηλώνει ότι η εφαρμογή ήταν διαθέσιμη από το Google Play και δεν γνωρίζουμε πώς τα πιθανά θύματα παρασύρθηκαν ή ανακαλύφθηκαν με άλλο τρόπο στον ψεύτικο ιστότοπο.
Εργαλειοθήκη
Σύμφωνα με την περιγραφή στον ιστότοπο copycat, η εφαρμογή είναι δωρεάν και προορίζεται να χρησιμοποιηθεί για να συναντήσετε και να συνομιλήσετε με νέα άτομα. Ωστόσο, η εφαρμογή λήψης είναι μια κακόβουλα επιδιορθωμένη εφαρμογή Telegram, συγκεκριμένα η έκδοση 7.5.0 (22467) του Telegram, η οποία ήταν διαθέσιμη για λήψη γύρω στις 25 Φεβρουαρίουth 2022.
Η ανασυσκευασμένη έκδοση του Telegram χρησιμοποιεί το ίδιο όνομα πακέτου με τη νόμιμη εφαρμογή Telegram. Τα ονόματα πακέτων υποτίθεται ότι είναι μοναδικά αναγνωριστικά για κάθε εφαρμογή Android και πρέπει να είναι μοναδικά σε οποιαδήποτε δεδομένη συσκευή. Αυτό σημαίνει ότι εάν η επίσημη εφαρμογή Telegram είναι ήδη εγκατεστημένη στη συσκευή ενός πιθανού θύματος, τότε δεν μπορεί να εγκατασταθεί αυτή η backdoored έκδοση. Δείτε την Εικόνα 7. Αυτό μπορεί να σημαίνει ένα από δύο πράγματα – είτε ο παράγοντας απειλής επικοινωνεί πρώτα με πιθανά θύματα και τα ωθεί να απεγκαταστήσουν το Telegram από τις συσκευές τους, εάν είναι εγκατεστημένο, είτε η καμπάνια εστιάζει σε χώρες όπου η χρήση του Telegram είναι σπάνια για επικοινωνία.
Εικόνα 7. Εάν η επίσημη εφαρμογή Telegram είναι ήδη εγκατεστημένη στη συσκευή, η trojanized έκδοση δεν μπορεί να εγκατασταθεί με επιτυχία
Η trojanized εφαρμογή Telegram του StrongPity θα έπρεπε να έχει λειτουργήσει ακριβώς όπως η επίσημη έκδοση για την επικοινωνία, χρησιμοποιώντας τυπικά API που είναι καλά τεκμηριωμένα στον ιστότοπο του Telegram – αλλά η εφαρμογή δεν λειτουργεί πλέον, επομένως δεν μπορούμε να ελέγξουμε.
Κατά τη διάρκεια της έρευνάς μας, η τρέχουσα έκδοση κακόβουλου λογισμικού που διατίθεται από τον ιστότοπο copycat δεν ήταν πλέον ενεργή και δεν ήταν πλέον δυνατή η επιτυχής εγκατάσταση του και η ενεργοποίηση της λειτουργίας του backdoor. Όταν προσπαθήσαμε να εγγραφούμε χρησιμοποιώντας τον αριθμό τηλεφώνου μας, η επανασυσκευασμένη εφαρμογή Telegram δεν μπόρεσε να λάβει το αναγνωριστικό API από τον διακομιστή και ως εκ τούτου δεν λειτουργούσε σωστά. Όπως φαίνεται στην Εικόνα 8, η εφαρμογή εμφανίζει ένα API_ID_PUBLISHED_FLOOD λάθος.
Εικόνα 8. Εμφανίστηκε σφάλμα κατά την εγγραφή χρησιμοποιώντας τον αριθμό τηλεφώνου
Με βάση το Telegram τεκμηρίωση σφάλματος, φαίνεται ότι το StrongPity δεν έχει αποκτήσει το δικό του αναγνωριστικό API. Αντίθετα, έχει χρησιμοποιήσει το δείγμα αναγνωριστικού API που περιλαμβάνεται στον κώδικα ανοιχτού κώδικα του Telegram για αρχικούς σκοπούς δοκιμών. Το Telegram παρακολουθεί τη χρήση του API ID και περιορίζει το δείγμα αναγνωριστικού API, επομένως η χρήση του σε μια εφαρμογή που κυκλοφόρησε έχει ως αποτέλεσμα το σφάλμα που φαίνεται στην Εικόνα 8. Λόγω του σφάλματος, δεν είναι πλέον δυνατή η εγγραφή και η χρήση της εφαρμογής ή η ενεργοποίηση της κακόβουλης λειτουργίας της . Αυτό μπορεί να σημαίνει ότι οι χειριστές του StrongPity δεν το σκέφτηκαν καλά ή ίσως υπήρχε αρκετός χρόνος για να κατασκοπεύσουν τα θύματα μεταξύ της δημοσίευσης της εφαρμογής και της απενεργοποίησής της από το Telegram για υπερβολική χρήση του APP ID. Δεδομένου ότι καμία νέα και λειτουργική έκδοση της εφαρμογής δεν διατέθηκε ποτέ μέσω του ιστότοπου, μπορεί να υποδηλώνει ότι το StrongPity ανέπτυξε με επιτυχία το κακόβουλο λογισμικό στους επιθυμητούς στόχους του.
Ως αποτέλεσμα, η ψεύτικη εφαρμογή Shagle που ήταν διαθέσιμη στον ψεύτικο ιστότοπο τη στιγμή της έρευνάς μας δεν ήταν πλέον ενεργή. Ωστόσο, αυτό μπορεί να αλλάξει ανά πάσα στιγμή, εάν οι φορείς απειλής αποφασίσουν να ενημερώσουν την κακόβουλη εφαρμογή.
Τα στοιχεία και τα δικαιώματα που απαιτούνται από τον κώδικα backdoor StrongPity προστίθενται στην εφαρμογή Telegram AndroidManifest.xml αρχείο. Όπως φαίνεται στο Σχήμα 9, αυτό καθιστά εύκολο να δούμε ποιες άδειες είναι απαραίτητες για το κακόβουλο λογισμικό.
Εικόνα 9. AndroidManifest.xml με επισημασμένα στοιχεία και δικαιώματα του backdoor StrongPity
Από το μανιφέστο Android μπορούμε να δούμε ότι προστέθηκαν κακόβουλες κλάσεις στο org.telegram.messenger πακέτο για να εμφανίζεται ως μέρος της αρχικής εφαρμογής.
Η αρχική κακόβουλη λειτουργία ενεργοποιείται από έναν από τους τρεις δέκτες εκπομπής που εκτελούνται μετά από καθορισμένες ενέργειες – BOOT_COMPLETED, ΧΑΜΗΛΗ ΜΠΑΤΑΡΙΑ, ή USER_PRESENT. Μετά την πρώτη εκκίνηση, καταχωρεί δυναμικά πρόσθετους δέκτες εκπομπής για παρακολούθηση ΟΘΟΝΗ_ΕΝΕΡΓΗ, SCREEN_OFF, να ΣΥΝΔΕΣΗ_ΑΛΛΑΓΗ εκδηλώσεις. Στη συνέχεια, η ψεύτικη εφαρμογή Shagle χρησιμοποιεί IPC (επικοινωνία μεταξύ διεργασιών) για να επικοινωνήσει μεταξύ των στοιχείων της για να ενεργοποιήσει διάφορες ενέργειες. Επικοινωνεί με τον διακομιστή C&C χρησιμοποιώντας HTTPS για να στείλει βασικές πληροφορίες σχετικά με την παραβιασμένη συσκευή και λαμβάνει ένα αρχείο κρυπτογραφημένο με AES που περιέχει 11 δυαδικές μονάδες που θα εκτελεστούν δυναμικά από τη γονική εφαρμογή. Δείτε την Εικόνα 10. Όπως φαίνεται στην Εικόνα 11, αυτές οι μονάδες αποθηκεύονται στον εσωτερικό χώρο αποθήκευσης της εφαρμογής, /data/user/0/org.telegram.messenger/files/.li/.
Εικόνα 10. Το StrongPity backdoor λαμβάνει ένα κρυπτογραφημένο αρχείο που περιέχει εκτελέσιμες μονάδες
Εικόνα 11. Ενότητες που λαμβάνονται από τον διακομιστή που είναι αποθηκευμένες στον εσωτερικό χώρο αποθήκευσης του backdoor του StrongPity
Κάθε ενότητα είναι υπεύθυνη για διαφορετική λειτουργικότητα. Η λίστα με τα ονόματα των λειτουργικών μονάδων αποθηκεύεται σε τοπικές κοινόχρηστες προτιμήσεις στο sharedconfig.xml αρχείο; βλέπε Εικόνα 12.
Οι λειτουργικές μονάδες ενεργοποιούνται δυναμικά από τη γονική εφαρμογή όποτε είναι απαραίτητο. Κάθε ενότητα έχει το δικό της όνομα ενότητας και είναι υπεύθυνη για διαφορετικές λειτουργίες όπως:
- libarm.βάζο (μονάδα cm) – καταγράφει τηλεφωνικές κλήσεις
- libmpeg4.jar (nt module) – συλλέγει κείμενο εισερχόμενων μηνυμάτων ειδοποίησης από 17 εφαρμογές
- τοπικό.βάζο (μονάδα fm/fp) – συλλέγει λίστα αρχείων (δέντρο αρχείων) στη συσκευή
- τηλέφωνο.βάζο (MS module) – κάνει κατάχρηση των υπηρεσιών προσβασιμότητας για κατασκοπεία εφαρμογών ανταλλαγής μηνυμάτων μέσω του ονόματος επαφής, του μηνύματος συνομιλίας και της ημερομηνίας
- πόροι.βάζο (μονάδα sm) – συλλέγει μηνύματα SMS που είναι αποθηκευμένα στη συσκευή
- υπηρεσίες.βάζο (μονάδα lo) – λαμβάνει τη θέση της συσκευής
- systemui.βάζο (μονάδα sy) – συλλέγει πληροφορίες συσκευής και συστήματος
- χρονόμετρο.βάζο (ia module) – συλλέγει μια λίστα εγκατεστημένων εφαρμογών
- εργαλειοθήκη.βάζο (μονάδα cn) – συλλέγει τη λίστα επαφών
- κιτ ρολογιών.βάζο (μονάδα ac) – συλλέγει μια λίστα λογαριασμών συσκευής
- Wearkit.βάζο (μονάδα cl) – συλλέγει μια λίστα αρχείων καταγραφής κλήσεων
Εικόνα 12. Λίστα λειτουργικών μονάδων που χρησιμοποιούνται από την κερκόπορτα StrongPity
Όλα τα ληφθέντα δεδομένα αποθηκεύονται στο καθαρό in /data/user/0/org.telegram.messenger/databases/outdata, προτού κρυπτογραφηθεί με χρήση AES και σταλεί στον διακομιστή C&C, όπως μπορείτε να δείτε στην Εικόνα 13.
Σχήμα 13. Κρυπτογραφημένα δεδομένα χρήστη που εξήχθησαν στον διακομιστή C&C
Αυτό το backdoor του StrongPity έχει εκτεταμένες δυνατότητες κατασκοπείας σε σύγκριση με την πρώτη έκδοση StrongPity που ανακαλύφθηκε για κινητά. Μπορεί να ζητήσει από το θύμα να ενεργοποιήσει τις υπηρεσίες προσβασιμότητας και να αποκτήσει πρόσβαση στις ειδοποιήσεις. βλέπε Εικόνα 14. Εάν το θύμα τα ενεργοποιήσει, το κακόβουλο λογισμικό θα κατασκοπεύσει τις εισερχόμενες ειδοποιήσεις και θα κάνει κακή χρήση των υπηρεσιών προσβασιμότητας για να διεισδύσει στην επικοινωνία συνομιλίας από άλλες εφαρμογές.
Εικόνα 14. Αιτήματα κακόβουλου λογισμικού, από το θύμα, πρόσβαση σε ειδοποιήσεις και υπηρεσίες προσβασιμότητας
Με την πρόσβαση στις ειδοποιήσεις, το κακόβουλο λογισμικό μπορεί να διαβάσει τα λαμβανόμενα μηνύματα ειδοποιήσεων που προέρχονται από 17 στοχευμένες εφαρμογές. Ακολουθεί μια λίστα με τα ονόματα των πακέτων τους:
- Messenger (com.facebook.orca)
- messenger lite (com.facebook.mlite)
- Viber – Ασφαλείς συνομιλίες και κλήσεις (com.viber.voip)
- Skype (com.skype.raider)
- ΓΡΑΜΜΗ: Κλήσεις & Μηνύματα (jp.naver.line.android)
- Kik — Εφαρμογή μηνυμάτων και συνομιλίας (kik.android)
- ζωντανή ροή τάνγκο και συνομιλία μέσω βίντεο (com.sgiggle.production)
- Hangouts (com.google.android.talk)
- Τηλεγράφημα (org.telegram.messenger)
- WeChat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Προσάναμμα (com.tinder)
- Ειδήσεις και περιεχόμενο πεζοπορίας (com.bsb.hike)
- Ινσταγκραμ (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-Διεθνείς κλήσεις και συνομιλία (com.imo.android.imoim)
Εάν η συσκευή είναι ήδη ριζωμένη, το κακόβουλο λογισμικό προσπαθεί σιωπηλά να εκχωρήσει δικαιώματα σε WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, για να ενεργοποιηθούν οι υπηρεσίες προσβασιμότητας και να παραχωρηθεί πρόσβαση στις ειδοποιήσεις. Στη συνέχεια, η κερκόπορτα StrongPity προσπαθεί να απενεργοποιήσει την εφαρμογή SecurityLogAgent (com.samsung.android.securitylogagent), η οποία είναι μια επίσημη εφαρμογή συστήματος που βοηθά στην προστασία της ασφάλειας των συσκευών Samsung και απενεργοποιεί όλες τις ειδοποιήσεις εφαρμογών που προέρχονται από το ίδιο το κακόβουλο λογισμικό που ενδέχεται να εμφανίζονται στο θύμα στο μέλλον σε περίπτωση σφαλμάτων εφαρμογής, σφαλμάτων ή προειδοποιήσεων. Το backdoor του StrongPity δεν προσπαθεί από μόνο του να κάνει root μια συσκευή.
Ο αλγόριθμος AES χρησιμοποιεί λειτουργία CBC και κλειδιά με σκληρό κώδικα για την αποκρυπτογράφηση των ληφθέντων λειτουργικών μονάδων:
- κλειδί AES - ααααααααααααααααααδυνατο μπβ
- AES IV - αααανοθινγκίμπος
Συμπέρασμα
Η καμπάνια για κινητές συσκευές που διαχειρίζεται η ομάδα StrongPity APT υποδύθηκε μια νόμιμη υπηρεσία για τη διανομή της κερκόπορτας Android. Το StrongPity ανασυσκεύασε την επίσημη εφαρμογή Telegram για να συμπεριλάβει μια παραλλαγή του κώδικα backdoor της ομάδας.
Αυτός ο κακόβουλος κώδικας, η λειτουργικότητά του, τα ονόματα κλάσεων και το πιστοποιητικό που χρησιμοποιήθηκε για την υπογραφή του αρχείου APK, είναι τα ίδια με αυτά της προηγούμενης καμπάνιας. Έτσι πιστεύουμε με μεγάλη σιγουριά ότι αυτή η επιχείρηση ανήκει στον όμιλο StrongPity.
Κατά τη στιγμή της έρευνάς μας, το δείγμα που ήταν διαθέσιμο στον ιστότοπο copycat ήταν απενεργοποιημένο λόγω του API_ID_PUBLISHED_FLOOD σφάλμα, το οποίο έχει ως αποτέλεσμα να μην ενεργοποιείται κακόβουλος κώδικας και πιθανά θύματα να αφαιρούν τη μη λειτουργική εφαρμογή από τις συσκευές τους.
Η ανάλυση κώδικα αποκαλύπτει ότι η κερκόπορτα είναι αρθρωτή και επιπλέον δυαδικές μονάδες λαμβάνονται από τον διακομιστή C&C. Αυτό σημαίνει ότι ο αριθμός και ο τύπος των λειτουργικών μονάδων που χρησιμοποιούνται μπορούν να αλλάξουν ανά πάσα στιγμή για να ταιριάζουν στα αιτήματα της καμπάνιας όταν λειτουργούν από την ομάδα StrongPity.
Με βάση την ανάλυσή μας, αυτή φαίνεται να είναι η δεύτερη έκδοση του κακόβουλου λογισμικού Android του StrongPity. σε σύγκριση με την πρώτη του έκδοση, κάνει επίσης κακή χρήση των υπηρεσιών προσβασιμότητας και της πρόσβασης ειδοποιήσεων, αποθηκεύει δεδομένα που συλλέγονται σε μια τοπική βάση δεδομένων, προσπαθεί να εκτελέσει su εντολές και για το μεγαλύτερο μέρος της συλλογής δεδομένων χρησιμοποιεί μονάδες λήψης.
IoC
Αρχεία
| SHA-1 | Όνομα αρχείου | Όνομα ανίχνευσης ESET | Περιγραφή |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | Android/StrongPity.A | StrongPity backdoor (νόμιμη εφαρμογή Android Telegram επανασυσκευασμένη με κακόβουλο κώδικα). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.βάζο | Android/StrongPity.A | Κινητή μονάδα StrongPity υπεύθυνη για την εγγραφή τηλεφωνικών κλήσεων. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity που είναι υπεύθυνη για τη συλλογή κειμένου των λαμβανόμενων ειδοποιήσεων. |
| D44818C061269930E50868445A3418A0780903FE | τοπικό.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity υπεύθυνη για τη συλλογή μιας λίστας αρχείων στη συσκευή. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | τηλέφωνο.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity υπεύθυνη για κακή χρήση υπηρεσιών προσβασιμότητας για κατασκοπεία άλλων εφαρμογών. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | πόροι.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity υπεύθυνη για τη συλλογή μηνυμάτων SMS που είναι αποθηκευμένα στη συσκευή. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | υπηρεσίες.βάζο | Android/StrongPity.A | Κινητή μονάδα StrongPity υπεύθυνη για την απόκτηση της θέσης της συσκευής. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.βάζο | Android/StrongPity.A | Κινητή μονάδα StrongPity υπεύθυνη για τη συλλογή πληροφοριών συσκευής και συστήματος. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | χρονόμετρο.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity που είναι υπεύθυνη για τη συλλογή μιας λίστας εγκατεστημένων εφαρμογών. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | εργαλειοθήκη.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity που είναι υπεύθυνη για τη συλλογή της λίστας επαφών. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | κιτ ρολογιών.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity που είναι υπεύθυνη για τη συλλογή μιας λίστας λογαριασμών συσκευών. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | Wearkit.βάζο | Android/StrongPity.A | Μονάδα κινητής τηλεφωνίας StrongPity που είναι υπεύθυνη για τη συλλογή μιας λίστας αρχείων καταγραφής κλήσεων. |
Δίκτυο
| IP | Provider | Πρωτοεμφανίστηκε | Περιγραφή |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircuitchip[.]com C&C |
| 185.12.46[.]138 | χοιρινό κουλούρι | 2020-04-21 | networksoftwaresegment[.]com C&C |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 12 του πλαισίου MITER ATT & CK.
| Τακτική | ID | Όνομα | Περιγραφή |
|---|---|---|---|
| Επιμονή | T1398 | Σενάρια εκκίνησης ή σύνδεσης | Η κερκόπορτα StrongPity λαμβάνει το BOOT_COMPLETED πρόθεση εκπομπής για ενεργοποίηση κατά την εκκίνηση της συσκευής. |
| T1624.001 | Εκτέλεση ενεργοποίησης συμβάντος: Δέκτες εκπομπής | Η λειτουργία backdoor του StrongPity ενεργοποιείται εάν συμβεί ένα από αυτά τα συμβάντα: ΧΑΜΗΛΗ ΜΠΑΤΑΡΙΑ, USER_PRESENT, ΟΘΟΝΗ_ΕΝΕΡΓΗ, SCREEN_OFF, ή ΣΥΝΔΕΣΗ_ΑΛΛΑΓΗ. | |
| Αμυντική υπεκφυγή | T1407 | Λήψη Νέου Κώδικα στο Runtime | Το backdoor StrongPity μπορεί να κατεβάσει και να εκτελέσει πρόσθετες δυαδικές μονάδες. |
| T1406 | Ασαφή αρχεία ή πληροφορίες | Το backdoor του StrongPity χρησιμοποιεί κρυπτογράφηση AES για να αποκρύψει τις ληφθείσες μονάδες και να κρύψει τις συμβολοσειρές στο APK του. | |
| T1628.002 | Απόκρυψη τεχνουργημάτων: Αποφυγή χρηστών | Το backdoor του StrongPity μπορεί να απενεργοποιήσει όλες τις ειδοποιήσεις εφαρμογών που προέρχονται από το ίδιο το κακόβουλο λογισμικό για να κρύψει την παρουσία του. | |
| T1629.003 | Βλάβη άμυνας: Απενεργοποίηση ή τροποποίηση εργαλείων | Εάν το backdoor StrongPity έχει root, απενεργοποιεί το SecurityLogAgent (com.samsung.android.securitylogagent) αν υπάρχει. | |
| Ανακάλυψη | T1420 | Ανακάλυψη αρχείων και καταλόγου | Το backdoor StrongPity μπορεί να παραθέσει τα διαθέσιμα αρχεία σε εξωτερικό χώρο αποθήκευσης. |
| T1418 | Ανακάλυψη λογισμικού | Το backdoor StrongPity μπορεί να αποκτήσει μια λίστα εγκατεστημένων εφαρμογών. | |
| T1422 | Ανακάλυψη διαμόρφωσης δικτύου συστήματος | Η κερκόπορτα StrongPity μπορεί να εξαγάγει IMEI, IMSI, διεύθυνση IP, αριθμό τηλεφώνου και χώρα. | |
| T1426 | Ανακάλυψη πληροφοριών συστήματος | Το backdoor StrongPity μπορεί να εξάγει πληροφορίες σχετικά με τη συσκευή, όπως τον τύπο σύνδεσης στο Διαδίκτυο, τον σειριακό αριθμό SIM, το αναγνωριστικό συσκευής και τις κοινές πληροφορίες συστήματος. | |
| Συλλογή | T1417.001 | Καταγραφή εισόδου: Καταγραφή πληκτρολογίου | Το StrongPity backdoor καταγράφει τις πληκτρολογήσεις σε μηνύματα συνομιλίας και δεδομένα κλήσεων από στοχευμένες εφαρμογές. |
| T1517 | Πρόσβαση στις Ειδοποιήσεις | Το backdoor StrongPity μπορεί να συλλέγει μηνύματα ειδοποιήσεων από 17 στοχευμένες εφαρμογές. | |
| T1532 | Αρχειοθέτηση συλλεγόμενων δεδομένων | Η κερκόπορτα StrongPity κρυπτογραφεί τα δεδομένα που έχουν εξαχθεί χρησιμοποιώντας AES. | |
| T1430 | Παρακολούθηση τοποθεσίας | Το StrongPity backdoor παρακολουθεί την τοποθεσία της συσκευής. | |
| T1429 | Συλλογή ήχου | Η κερκόπορτα StrongPity μπορεί να καταγράφει τηλεφωνικές κλήσεις. | |
| T1513 | Οθόνη συλλαμβάνει | Το backdoor StrongPity μπορεί να εγγράψει την οθόνη της συσκευής χρησιμοποιώντας το MediaProjectionManager API. | |
| T1636.002 | Προστατευμένα δεδομένα χρήστη: Μητρώα κλήσεων | Η κερκόπορτα StrongPity μπορεί να εξαγάγει αρχεία καταγραφής κλήσεων. | |
| T1636.003 | Προστατευμένα δεδομένα χρήστη: Λίστα επαφών | Το backdoor StrongPity μπορεί να εξαγάγει τη λίστα επαφών της συσκευής. | |
| T1636.004 | Προστατευμένα δεδομένα χρήστη: Μηνύματα SMS | Το backdoor StrongPity μπορεί να εξάγει μηνύματα SMS. | |
| Διοίκησης και Ελέγχου | T1437.001 | Πρωτόκολλο επιπέδου εφαρμογής: Πρωτόκολλα Ιστού | Το backdoor StrongPity χρησιμοποιεί HTTPS για να επικοινωνεί με τον διακομιστή C&C του. |
| T1521.001 | Κρυπτογραφημένο κανάλι: Συμμετρική κρυπτογραφία | Το backdoor StrongPity χρησιμοποιεί AES για να κρυπτογραφήσει την επικοινωνία του. | |
| εκδιήθησης | T1646 | Διήθηση πάνω από το κανάλι C2 | Η κερκόπορτα StrongPity εξάγει δεδομένα χρησιμοποιώντας HTTPS. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Ικανός
- Σχετικά
- AC
- πρόσβαση
- προσιτότητα
- Λογαριασμοί
- ενεργειών
- ενεργός
- προστιθέμενη
- Πρόσθετος
- διεύθυνση
- AES
- Μετά το
- αλγόριθμος
- Όλα
- ήδη
- Αν και
- ανάλυση
- και
- android
- api
- APIs
- app
- εμφανίζομαι
- εφαρμογές
- εφαρμογές
- APT
- γύρω
- Αυτοματοποιημένη
- διαθέσιμος
- κερκόπορτα
- βασικός
- επειδή
- πριν
- είναι
- Πιστεύω
- μεταξύ
- αναμετάδοση
- χτισμένο
- κλήση
- κλήσεις
- Εκστρατεία
- Καμπάνιες
- δεν μπορώ
- πιάνω
- περίπτωση
- Κέντρα
- πιστοποιητικό
- αλλαγή
- Κανάλι
- έλεγχος
- Επιλέξτε
- τάξη
- τάξεις
- καθαρός
- κωδικός
- συλλέγουν
- Συλλέγοντας
- συλλογή
- ερχομός
- Κοινός
- επικοινωνούν
- Επικοινωνία
- Διαβιβάσεις
- συγκρίνουν
- σύγκριση
- συγκρίνοντας
- σύγκριση
- εξαρτήματα
- Συμβιβασμένος
- εμπιστοσύνη
- διαμόρφωση
- σύνδεση
- επικοινωνήστε μαζί μας
- Επαφές
- Περιέχει
- περιεχόμενο
- χώρες
- χώρα
- Ρεύμα
- Τη στιγμή
- ημερομηνία
- βάση δεδομένων
- Ημερομηνία
- ημέρα
- Αποκρυπτογράφηση
- παραδίδεται
- αναπτυχθεί
- περιγράφεται
- περιγραφή
- συσκευή
- Συσκευές
- DID
- διαφορετικές
- κατευθείαν
- ανάπηρος
- ανακάλυψαν
- διανέμω
- διανέμονται
- διανομή
- Όχι
- τομέα
- κατεβάσετε
- κατά την διάρκεια
- κάθε
- Νωρίτερα
- είτε
- ενεργοποιήσετε
- δίνει τη δυνατότητα
- κρυπτογραφημένα
- κρυπτογράφηση
- αρκετά
- εξ ολοκλήρου
- σφάλμα
- λάθη
- κατασκοπεία
- Even
- εκδηλώσεις
- ΠΑΝΤΑ
- απόδειξη
- εκτελέσει
- εκτέλεση
- εξωτερικός
- εκχύλισμα
- απομίμηση
- Χαρακτηριστικά
- Εικόνα
- Αρχεία
- Αρχεία
- Όνομα
- πρώτη φορά
- ταιριάζουν
- εστιάζει
- Πλαίσιο
- Δωρεάν
- από
- πλήρως
- λειτουργικός
- λειτουργικότητα
- λειτουργίες
- μελλοντικός
- Κέρδος
- Φωτογραφίες
- παράγεται
- δεδομένου
- Το Google Play
- Play Store της Google
- χορηγεί
- επιχορηγήσεις
- Group
- Ομάδα
- βοηθά
- εδώ
- Κρύβω
- Ψηλά
- Αρχική
- φιλοξενείται
- Πως
- Ωστόσο
- HTML
- HTTPS
- ia
- προσδιορίζονται
- προσδιορίσει
- υλοποιεί
- in
- περιλαμβάνουν
- περιλαμβάνονται
- περιλαμβάνει
- Συμπεριλαμβανομένου
- Εισερχόμενος
- πληροφορίες
- αρχικός
- εγκαθιστώ
- αντί
- πρόθεση
- εσωτερικός
- Internet
- σύνδεση στο Internet
- IP
- Διεύθυνση IP
- IT
- εαυτό
- Ιούλιος
- Κλειδί
- πλήκτρα
- Ξέρω
- στρώμα
- Πιθανός
- όρια
- γραμμή
- LINK
- συνδέονται
- Λίστα
- Λίστες
- τοπικός
- τοποθεσία
- πλέον
- που
- ΚΑΝΕΙ
- malware
- πολοί
- max-width
- μέσα
- Γνωρίστε
- μήνυμα
- μηνύματα
- μηνυμάτων
- Αγγελιαφόρος
- ενδέχεται να
- Κινητό
- εφαρμογή για κινητά
- Τρόπος
- τροποποιημένο
- σπονδυλωτή
- Μονάδα μέτρησης
- ενότητες
- Παρακολούθηση
- οθόνες
- περισσότερο
- πλέον
- MS
- όνομα
- Ονομάστηκε
- ονόματα
- Naver
- απαραίτητος
- δίκτυο
- Νέα
- νέα
- κοινοποίηση
- κοινοποιήσεις
- Νοέμβριος
- Νοέμβριος 2021
- αριθμός
- λαμβάνεται
- την απόκτηση
- λαμβάνει
- προσφορά
- επίσημος ανώτερος υπάλληλος
- ONE
- ανοικτού κώδικα
- κώδικα ανοιχτού κώδικα
- λειτουργεί
- λειτουργία
- φορείς
- πρωτότυπο
- ΑΛΛΑ
- αλλιώς
- επισκόπηση
- δική
- πακέτο
- μέρος
- People
- ίσως
- δικαιώματα
- τηλέφωνο
- τηλεφωνικές κλήσεις
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- Play Store
- σημεία
- πορτρέτο
- δυνατός
- δυναμικού
- προτιμήσεις
- παρουσία
- παρόν
- παρουσιάζονται
- προηγούμενος
- προηγουμένως
- Προϊόντα
- δεόντως
- προστασία
- πρωτόκολλο
- παρέχουν
- παρέχεται
- παρέχει
- δημοσίως
- Δημοσιεύσεις
- σκοποί
- ΣΠΑΝΙΟΣ
- Διάβασε
- έλαβε
- λαμβάνει
- ρεκόρ
- καταγράφονται
- εγγραφή
- αρχεία
- καταχωρηθεί
- μητρώα
- κυκλοφόρησε
- αφαίρεση
- ζητήσει
- αιτήματα
- απαιτείται
- έρευνα
- ερευνητές
- υπεύθυνος
- ΠΕΡΙΦΕΡΕΙΑ
- αποτέλεσμα
- Αποτελέσματα
- Αποκαλύπτει
- ρίζα
- κανόνες
- ένα ασφαλές
- ίδιο
- Samsung
- Οθόνη
- Δεύτερος
- Τμήμα
- ασφάλεια
- φαίνεται
- αποστολή
- σειράς
- υπηρεσία
- Υπηρεσίες
- Shared
- θα πρέπει να
- υπογράψουν
- υπογραφεί
- ΝΑΙ
- παρόμοιες
- ομοιότητες
- Απλούς
- αφού
- ιστοσελίδα
- Skype
- SMS
- Snapchat
- So
- μερικοί
- ειδικά
- κατασκοπεία
- πρότυπο
- Εκκίνηση
- εκκίνηση
- Ακόμη
- χώρος στο δίσκο
- κατάστημα
- αποθηκεύονται
- καταστήματα
- μετάδοση
- ροής
- δυνατά
- Επιτυχώς
- τέτοιος
- υποτιθεμένος
- σύστημα
- τραπέζι
- στοχευμένες
- στόχευση
- στόχους
- Telegram
- Tencent
- Δοκιμές
- Η
- τους
- πράγματα
- απειλή
- απειλή
- τρία
- Μέσω
- ώρα
- προσάναμμα
- προς την
- εργαλείο
- ενεργοποιούν
- ενεργοποιήθηκε
- ενεργοποίηση
- Τουίτερ
- μοναδικός
- Ενημέρωση
- Φορτώθηκε
- Χρήση
- χρήση
- Χρήστες
- Χρήστες
- Παραλλαγή
- διάφορα
- εκδοχή
- Viber
- Θύμα
- θύματα
- Βίντεο
- video chat
- ιστός
- Web-based
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- Τι
- Ποιό
- ευρύς
- θα
- λέξη
- Εργασία
- εργάστηκαν
- εργαζόμενος
- XML
- Εσείς
- zephyrnet
