ESET-i teadlased tuvastasid aktiivse StrongPity kampaania, mis levitas Android Telegrami rakenduse Troojastatud versiooni, mida esitleti rakendusena Shagle – videovestlusteenus, millel pole rakenduse versiooni.
ESET-i teadlased tuvastasid aktiivse kampaania, mille oleme omistanud StrongPity APT grupile. Alates 2021. aasta novembrist aktiivne kampaania on veebisaidi kaudu levitanud pahatahtlikku rakendust, mis kehastub Shagle'iga – juhusliku videovestlusteenusena, mis pakub võõraste vahel krüpteeritud suhtlust. Erinevalt täielikult veebipõhisest ehtsast Shagle'i saidist, mis ei paku oma teenustele juurdepääsuks ametlikku mobiilirakendust, pakub kopeerimissait allalaadimiseks ainult Androidi rakendust ja veebipõhine voogesitus pole võimalik.
- Varem on StrongPityle omistatud ainult üks teine Androidi kampaania.
- See on esimene kord, kui kirjeldatud moodulid ja nende funktsionaalsus on avalikult dokumenteeritud.
- StrongPity mobiilse tagaukse rakenduse levitamiseks kasutatakse kopeerivat veebisaiti, mis jäljendab Shagle'i teenust.
- Rakendus on avatud lähtekoodiga Telegrami rakenduse muudetud versioon, mis on ümber pakitud StrongPity tagaukse koodiga.
- Tuginedes sarnasustele eelmise StrongPity tagaukse koodiga ja rakendusele, mis on allkirjastatud varasema StrongPity kampaania sertifikaadiga, omistame selle ohu StrongPity APT grupile.
- StrongPity tagauks on modulaarne, kus kõik vajalikud binaarmoodulid on AES-i abil krüpteeritud ja selle C&C serverist alla laaditud ning sellel on erinevad nuhkimisfunktsioonid.
Pahatahtlik rakendus on tegelikult seadusliku Telegrami rakenduse täisfunktsionaalne, kuid troojastatud versioon, kuid seda esitletakse kui olematut Shagle'i rakendust. Selle ajaveebi postituse ülejäänud osas nimetame seda võltsitud Shagle'i rakenduseks, troojastatud Telegrami rakenduseks või StrongPity tagaukseks. ESET-i tooted tuvastavad selle ohu kui Android/StrongPity.A.
Sellel StrongPity tagauksel on erinevad nuhkimisfunktsioonid: selle 11 dünaamiliselt käivitatavat moodulit vastutavad telefonikõnede salvestamise, SMS-sõnumite, kõnelogide loendite, kontaktiloendite ja palju muu eest. Neid mooduleid dokumenteeritakse esimest korda. Kui ohver annab pahatahtlikule StrongPity rakendusele ligipääsetavuse teenused, on ühel selle moodulil juurdepääs ka sissetulevatele teadetele ja see suudab välja filtreerida suhtlust 17 rakendusest, nagu Viber, Skype, Gmail, Messenger ja Tinder.
Kampaania on tõenäoliselt väga kitsalt sihitud, kuna ESET-i telemeetria ei tuvasta endiselt ühtegi ohvrit. Meie uurimistöö ajal ei olnud kopeeritava veebisaidilt saadaolev pahavara analüüsitud versioon enam aktiivne ning seda ei olnud enam võimalik edukalt installida ja selle tagaukse funktsionaalsust käivitada, kuna StrongPity pole hankinud oma Troojastatud Telegrami rakenduse jaoks oma API ID-d. Kui aga ohustaja otsustab pahatahtlikku rakendust värskendada, võib see igal ajal muutuda.
Ülevaade
See StrongPity kampaania keskendub Androidi tagauksele, mis tarnitakse domeenist, mis sisaldab sõna "hollandi". See veebisait kehastab seaduslikku teenust nimega Shagle at shagle.com. Joonisel 1 näete mõlema veebisaidi kodulehti. Pahatahtlikku rakendust pakutakse otse kehastava veebisaidi kaudu ja seda pole kunagi Google Play poest saadaval olnud. See on seadusliku Telegrami rakenduse troojastatud versioon, mis on esitatud nii, nagu oleks see Shagle'i rakendus, kuigi praegu pole ametlikku Shagle'i Androidi rakendust.
Joonis 1. Vasakpoolse legitiimse veebisaidi ja parempoolse kopeerimise võrdlus
Nagu näete jooniselt 2, sisaldab võltssaidi HTML-kood tõendeid selle kohta, et see kopeeriti õigustatud saidilt. shagle.com saidil 1. novembrilst, 2021, kasutades automatiseeritud tööriista HTTrack. Pahatahtlik domeen registreeriti samal päeval, nii et kopeerimissait ja võlts Shagle'i rakendus võisid olla allalaadimiseks saadaval alates sellest kuupäevast.
Joonis 2. HTTrack tööriistaga loodud logid, mis on salvestatud võltsveebisaidi HTML-koodi
Viktimoloogia
Juulis 18th, 2022, käivitus üks meie YARA reeglitest VirusTotalis, kui pahatahtlik rakendus ja link veebisaidile matkisid shagle.com laaditi üles. Samal ajal anti meile teada puperdama selle proovi kohta, kuigi see oli ekslikult omistatud Bahamutile. ESET-i telemeetriaandmed ei tuvasta endiselt ohvreid, mis viitab sellele, et kampaania oli tõenäoliselt kitsalt suunatud.
omistamine
Kopeeritava Shagle'i veebisaidi levitatav APK on allkirjastatud sama koodiallkirjastamise sertifikaadiga (vt joonis 3) nagu troojastatud Süüria e-valitsuse rakendus, mille avastas 2021. aastal Trend Micro, mis omistati samuti StrongPityle.
Joonis 3. See sertifikaat allkirjastas võltsitud Shagle'i rakenduse ja troojastatud Süüria e-valitsuse rakenduse
Võlts Shagle'i rakenduses olevat pahatahtlikku koodi nägi StrongPity eelmises mobiilikampaanias ja see rakendab lihtsat, kuid funktsionaalset tagaust. Oleme näinud, et seda koodi kasutatakse ainult StrongPity läbiviidud kampaaniates. Joonisel 4 näete mõnda lisatud pahatahtlikku klassi, kusjuures paljud hägustatud nimed on mõlema kampaania koodis isegi samad.
Joonis 4. Troojastatud Süüria e-valitsuse rakenduse (vasakul) ja Troojastatud Telegrami rakenduse (paremal) klassinimede võrdlus
Selle kampaania tagaukse koodi võrdlemine Troojastatud Süüria e-valitsuse rakenduse koodiga (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), on sellel laiendatud funktsionaalsus, kuid sarnaste funktsioonide pakkumiseks kasutatakse sama koodi. Joonistel 5 ja 6 saate võrrelda mõlema näidise koodi, mis vastutab komponentide vahel sõnumite saatmise eest. Need sõnumid vastutavad tagaukse pahatahtliku käitumise käivitamise eest. Seetõttu usume kindlalt, et võlts Shagle'i rakendus on seotud grupiga StrongPity.
Joonis 5. Sõnumite saatja, kes vastutab pahatahtlike funktsioonide käivitamise eest Troojastatud Süüria e-valitsuse rakenduses
Joonis 6. Sõnumite saatja, kes vastutab võlts Shagle'i rakenduses pahatahtliku funktsiooni käivitamise eest
Tehniline analüüs
Esialgne juurdepääs
Nagu on kirjeldatud selle ajaveebi postituse jaotises Ülevaade, on Shagle'i võltsrakendus majutatud Shagle'i kopeerimise veebisaidil, kust ohvrid pidid rakenduse allalaadimiseks ja installimiseks valima. Ükski vaev ei viitanud sellele, et rakendus oli Google Playst saadaval, ja me ei tea, kuidas potentsiaalseid ohvreid võltsveebisaidile meelitati või muul viisil avastati.
Tööriistakomplekt
Cocati veebisaidi kirjelduse kohaselt on rakendus tasuta ja mõeldud kasutamiseks uute inimestega kohtumiseks ja vestlemiseks. Allalaaditud rakendus on aga pahatahtlikult paigatud Telegrami rakendus, täpsemalt Telegrami versioon 7.5.0 (22467), mis oli allalaadimiseks saadaval umbes 25. veebruarilth, 2022.
Telegrami ümberpakendatud versioon kasutab sama paketinime kui seaduslik Telegrami rakendus. Paketite nimed peaksid olema iga Androidi rakenduse kordumatud ID-d ja need peavad olema igas seadmes kordumatud. See tähendab, et kui ametlik Telegrami rakendus on potentsiaalse ohvri seadmesse juba installitud, siis seda tagauksega versiooni installida ei saa; vt joonis 7. See võib tähendada ühte kahest asjast – kas ohustaja suhtleb esmalt potentsiaalsete ohvritega ja sunnib neid Telegrami oma seadmetest desinstallima, kui see on installitud, või keskendub kampaania riikidele, kus Telegrami kasutatakse suhtlemiseks harva.
Joonis 7. Kui ametlik Telegrami rakendus on seadmesse juba installitud, ei saa troojastatud versiooni edukalt installida
StrongPity troojastatud Telegrami rakendus oleks pidanud töötama samamoodi nagu ametlik versioon suhtlemiseks, kasutades standardseid API-sid, mis on Telegrami veebisaidil hästi dokumenteeritud, kuid rakendus enam ei tööta, seega ei saa me seda kontrollida.
Meie uurimistöö ajal ei olnud kopeerimisveebisaidilt saadaolev pahavara praegune versioon enam aktiivne ning seda ei olnud enam võimalik edukalt installida ja selle tagaukse funktsiooni käivitada. Kui proovisime oma telefoninumbrit kasutades registreeruda, ei saanud ümberpakendatud Telegrami rakendus serverist API ID-d ja seetõttu ei töötanud see korralikult. Nagu on näha jooniselt 8, kuvas rakendus API_ID_PUBLISHED_FLOOD Viga
Joonis 8. Telefoninumbriga registreerumisel kuvatud tõrge
Telegrami põhjal vea dokumentatsioon, tundub, et StrongPity pole saanud oma API ID-d. Selle asemel on see esialgseks testimiseks kasutanud Telegrami avatud lähtekoodiga koodis sisalduvat API ID näidist. Telegram jälgib API ID kasutamist ja piirab näidis-API ID-d, nii et selle kasutamine välja antud rakenduses põhjustab joonisel 8 näidatud tõrke. Vea tõttu ei ole võimalik enam registreeruda ja rakendust kasutada või selle pahatahtlikku funktsiooni käivitada . See võib tähendada, et StrongPity operaatorid ei mõelnud seda lõpuni või võib-olla oli rakenduse avaldamise ja Telegrami poolt rakenduse ID liigkasutamise tõttu desaktiveerimise vahel piisavalt aega ohvrite järele luuramiseks. Kuna veebisaidi kaudu ei tehtud rakenduse uut ja töötavat versiooni kunagi kättesaadavaks, võib see viidata sellele, et StrongPity juurutas pahavara soovitud sihtmärkidele edukalt.
Selle tulemusena ei olnud meie uurimise ajal võltsveebisaidil saadaval olev võlts Shagle'i rakendus enam aktiivne. See võib aga igal ajal muutuda, kui ohus osalejad otsustavad pahatahtlikku rakendust värskendada.
StrongPity tagaukse koodi komponendid ja selleks vajalikud load lisatakse Telegrami rakendusele AndroidManifest.xml faili. Nagu on näha jooniselt 9, on selle abil lihtne näha, millised õigused on pahavara jaoks vajalikud.
Joonis 9. AndroidManifest.xml koos StrongPity tagaukse komponentide ja lubadega esile tõstetud
Androidi manifestist näeme, et pahatahtlikud klassid lisati org.telegram.messenger pakett kuvatakse algse rakenduse osana.
Esialgse pahatahtliku funktsiooni käivitab üks kolmest levivastuvõtjast, mis käivitatakse pärast määratletud toiminguid – BOOT_COMPLETED, BATTERY_LOWvõi USER_PRESENT. Pärast esimest käivitamist registreerib see dünaamiliselt jälgimiseks täiendavad saatevastuvõtjad SCREEN_ON, SCREEN_OFFja CONNECTIVITY_CHANGE sündmused. Võlts Shagle'i rakendus kasutab seejärel erinevate toimingute käivitamiseks oma komponentide vahel suhtlemiseks IPC-d (protsessidevaheline suhtlus). See võtab ühendust C&C-serveriga, kasutades HTTPS-i, et saata põhiteavet ohustatud seadme kohta, ja võtab vastu AES-krüptitud faili, mis sisaldab 11 binaarmoodulit, mida põhirakendus dünaamiliselt käivitab; vt joonis 10. Nagu on näha joonisel 11, on need moodulid salvestatud rakenduse sisemällu, /data/user/0/org.telegram.messenger/files/.li/.
Joonis 10. StrongPity tagauks võtab vastu krüptitud faili, mis sisaldab käivitatavaid mooduleid
Joonis 11. Serverist saadud moodulid, mis on salvestatud StrongPity tagaukse sisemällu
Iga moodul vastutab erinevate funktsioonide eest. Moodulite nimede loend on salvestatud kohalikesse jagatud eelistustesse shareconfig.xml fail; vaata joonist 12.
Moodulid käivitab vajaduse korral dünaamiliselt emarakendus. Igal moodulil on oma mooduli nimi ja see vastutab erinevate funktsioonide eest, näiteks:
- libarm.jar (cm moodul) – salvestab telefonikõnesid
- libmpeg4.jar (nt moodul) – kogub 17 rakendusest sissetulevate teadete tekste
- kohalik.purk (fm/fp moodul) – kogub seadmesse faililoendi (failipuu).
- telefon.jar (ms-moodul) – väärkasutab juurdepääsetavuse teenuseid sõnumsiderakenduste järele luuramiseks, eksfiltreerides kontakti nime, vestlussõnumi ja kuupäeva
- ressursid.jar (sm-moodul) – kogub seadmesse salvestatud SMS-sõnumeid
- teenused.jar (lo moodul) – hangib seadme asukoha
- systemui.jar (sy moodul) – kogub seadme- ja süsteemiteavet
- taimer.purk (ia moodul) – kogub installitud rakenduste loendi
- tööriistakomplekt.jar (cn-moodul) – kogub kontaktide nimekirja
- kellakomplekt.purk (AC moodul) – kogub seadme kontode loendi
- kandmiskomplekt.purk (cl moodul) – kogub kõnelogide loendit
Joonis 12. StrongPity tagaukse kasutatavate moodulite loend
Kõik saadud andmed salvestatakse puhastusse /data/user/0/org.telegram.messenger/databases/outdata, enne kui see krüpteeritakse AES-iga ja saadetakse C&C serverisse, nagu näete joonisel 13.
Joonis 13. C&C serverisse eksfiltreeritud krüpteeritud kasutajaandmed
Sellel StrongPity tagauksel on laiendatud nuhkimisfunktsioonid võrreldes esimese mobiili jaoks avastatud StrongPity versiooniga. See võib nõuda ohvrilt juurdepääsetavuse teenuste aktiveerimist ja juurdepääsu teavitustele; vt joonis 14. Kui ohver need lubab, luurab pahavara sissetulevate teatiste järgi ja väärkasutab juurdepääsetavuse teenuseid, et vestlussuhtlust teistest rakendustest välja filtreerida.
Joonis 14. Pahavara päringud ohvrilt, juurdepääs teavitustele ja juurdepääsetavuse teenused
Teavitusjuurdepääsuga saab pahavara lugeda 17 sihitud rakendusest saabunud teavitussõnumeid. Siin on nende pakettide nimede loend:
- Messenger (com.facebook.orca)
- Messenger Lite (com.facebook.mlite)
- Viber – turvalised vestlused ja kõned (com.viber.voip)
- Skype (com.skype.raider)
- LINE: kõned ja sõnumid (jp.naver.line.android)
- Kik – sõnumside- ja vestlusrakendus (kik.android)
- tango otseülekanne ja videovestlus (com.sgiggle.production)
- Hangoutsid (com.google.android.talk)
- Telegramm (org.telegram.messenger)
- WeChat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Tinder (com.tinder)
- Matkauudised ja sisu (com.bsb.matk)
- instagram (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-rahvusvahelised kõned ja vestlus (com.imo.android.imoim)
Kui seade on juba juurdunud, proovib pahavara sellele vaikselt lubasid anda WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATEjuurdepääsetavuse teenuste lubamiseks ja teavitusjuurdepääsu andmiseks. StrongPity tagauks proovib seejärel keelata rakenduse SecurityLogAgent (com.samsung.android.securitylogagent), mis on ametlik süsteemirakendus, mis aitab kaitsta Samsungi seadmete turvalisust ja keelab kõik pahavara enda poolt pärinevad rakenduste märguanded, mis võidakse tulevikus rakenduse vigade, kokkujooksmiste või hoiatuste korral ohvrile kuvada. StrongPity tagauks ei ürita ise seadet juurutada.
AES-algoritm kasutab allalaaditud moodulite dekrüpteerimiseks CBC-režiimi ja kõvakoodiga võtmeid:
- AES-võti - aaa midagi võimatutbbb
- AES IV – aaaothingimpos
Järeldus
StrongPity APT grupi hallatav mobiilikampaania kehastas oma Androidi tagaukse levitamiseks legitiimset teenust. StrongPity pakkis ametliku Telegrami rakenduse ümber, et lisada grupi tagaukse koodi variant.
See pahatahtlik kood, selle funktsioonid, klassinimed ja APK-faili allkirjastamiseks kasutatav sertifikaat on samad, mis eelmises kampaanias; seega usume suure kindlusega, et see operatsioon kuulub StrongPity gruppi.
Meie uurimistöö ajal oli copycati veebisaidil saadaval olev proov keelatud, kuna API_ID_PUBLISHED_FLOOD viga, mille tulemusel pahatahtlikku koodi ei käivitata ja potentsiaalsed ohvrid võivad mittetöötava rakenduse oma seadmetest eemaldada.
Koodianalüüs näitab, et tagauks on modulaarne ja täiendavad binaarmoodulid laaditakse alla C&C serverist. See tähendab, et kasutatavate moodulite arvu ja tüüpi saab igal ajal muuta, et need sobiksid kampaania taotlustega, kui neid juhib StrongPity grupp.
Meie analüüsi põhjal näib, et tegemist on StrongPity Androidi pahavara teise versiooniga; Võrreldes oma esimese versiooniga, väärkasutab see ka juurdepääsetavuse teenuseid ja juurdepääsu teavitustele, salvestab kogutud andmed kohalikku andmebaasi, proovib su käske ja enamiku andmete kogumiseks kasutab allalaaditud mooduleid.
IoC-d
Faile
| SHA-1 | Faili nimi | ESET-i tuvastamise nimi | Kirjeldus |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | Android/StrongPity.A | StrongPity tagauks (õiguspärane Android Telegrami rakendus, mis on ümber pakitud pahatahtliku koodiga). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab telefonikõnede salvestamise eest. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab saabunud teadete teksti kogumise eest. |
| D44818C061269930E50868445A3418A0780903FE | kohalik.purk | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab faililoendi kogumise eest seadmesse. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | telefon.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab juurdepääsetavuse teenuste väärkasutamise eest teiste rakenduste järele luuramiseks. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | ressursid.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab seadmesse salvestatud SMS-sõnumite kogumise eest. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | teenused.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab seadme asukoha hankimise eest. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.jar | Android/StrongPity.A | StrongPity mobiilne moodul, mis vastutab seadme ja süsteemi teabe kogumise eest. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | taimer.purk | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab installitud rakenduste loendi kogumise eest. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | tööriistakomplekt.jar | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab kontaktide loendi kogumise eest. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | kellakomplekt.purk | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab seadme kontode loendi kogumise eest. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | kandmiskomplekt.purk | Android/StrongPity.A | StrongPity mobiilimoodul, mis vastutab kõnelogide loendi kogumise eest. |
võrk
| IP | Provider | Esimest korda nähtud | Detailid |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircuitchip[.]com C & C |
| 185.12.46[.]138 | sealiha | 2020-04-21 | networksoftwaresegment[.]com C & C |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 12 MITER ATT&CK raamistikust.
| Taktika | ID | Nimi | Kirjeldus |
|---|---|---|---|
| Püsivus | T1398 | Käivitamise või sisselogimise initsialiseerimise skriptid | StrongPity tagauks võtab vastu BOOT_COMPLETED leviedastuse kavatsus aktiveerida seadme käivitamisel. |
| T1624.001 | Sündmuse käivitatud täitmine: ringhäälingu vastuvõtjad | StrongPity tagaukse funktsioon käivitub, kui toimub üks järgmistest sündmustest: BATTERY_LOW, USER_PRESENT, SCREEN_ON, SCREEN_OFFvõi CONNECTIVITY_CHANGE. | |
| Kaitsest kõrvalehoidmine | T1407 | Laadige tööajal alla uus kood | StrongPity tagauks saab alla laadida ja käivitada täiendavaid binaarmooduleid. |
| T1406 | Hägustatud failid või teave | StrongPity tagauks kasutab allalaaditud moodulite hägustamiseks ja APK-s stringide peitmiseks AES-krüptimist. | |
| T1628.002 | Peida artefaktid: kasutajate kõrvalehoidmine | StrongPity tagauks võib selle olemasolu varjamiseks keelata kõik pahavara endalt tulevad rakenduste teatised. | |
| T1629.003 | Kahjustada kaitsemehhanisme: keelake või muutke tööriistu | Kui StrongPity tagauksel on root, keelab see SecurityLogAgent (com.samsung.android.securitylogagent), kui see on olemas. | |
| avastus | T1420 | Failide ja kataloogide avastamine | StrongPity tagauks võib loetleda saadaolevad failid välisel salvestusruumil. |
| T1418 | Tarkvara avastamine | StrongPity tagauks võib hankida installitud rakenduste loendi. | |
| T1422 | Süsteemi võrgukonfiguratsiooni avastamine | StrongPity tagauks saab eraldada IMEI, IMSI, IP-aadressi, telefoninumbri ja riigi. | |
| T1426 | Süsteemi teabe avastamine | StrongPity tagauks saab hankida teavet seadme kohta, sealhulgas Interneti-ühenduse tüübi, SIM-kaardi seerianumbri, seadme ID ja üldise süsteemiteabe. | |
| kogumine | T1417.001 | Sisendhõive: klahvilogimine | StrongPity tagauks logib vestlussõnumite klahvivajutused ja sihitud rakenduste kõneandmed. |
| T1517 | Juurdepääs märguannetele | StrongPity tagauks suudab koguda teavitussõnumeid 17 sihitud rakendusest. | |
| T1532 | Arhiveeri kogutud andmed | StrongPity tagauks krüpteerib väljafiltreeritud andmed AES-i abil. | |
| T1430 | Asukoha jälgimine | StrongPity tagauks jälgib seadme asukohta. | |
| T1429 | Heli jäädvustamine | StrongPity tagauks suudab salvestada telefonikõnesid. | |
| T1513 | Screen Capture | StrongPity tagauks saab salvestada seadme ekraani, kasutades MediaProjectionManager API. | |
| T1636.002 | Kaitstud kasutajaandmed: kõnelogid | StrongPity tagauks suudab kõneloge eraldada. | |
| T1636.003 | Kaitstud kasutajaandmed: kontaktide loend | StrongPity tagauks saab välja võtta seadme kontaktide loendi. | |
| T1636.004 | Kaitstud kasutajaandmed: SMS-sõnumid | StrongPity tagauks suudab SMS-sõnumeid ekstraktida. | |
| Juhtimine ja kontroll | T1437.001 | Rakenduskihi protokoll: veebiprotokollid | StrongPity tagauks kasutab oma C&C-serveriga suhtlemiseks HTTPS-i. |
| T1521.001 | Krüpteeritud kanal: sümmeetriline krüptograafia | StrongPity tagauks kasutab oma suhtluse krüptimiseks AES-i. | |
| Välja filtreerimine | T1646 | Eksfiltratsioon C2 kanali kaudu | StrongPity tagauks eraldab andmed HTTPS-i abil. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Võimalik
- MEIST
- AC
- juurdepääs
- kättesaadavus
- Kontod
- meetmete
- aktiivne
- lisatud
- Täiendavad lisad
- aadress
- AES
- pärast
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- juba
- Kuigi
- analüüs
- ja
- android
- API
- API-liidesed
- app
- ilmuma
- rakendused
- apps
- APT
- ümber
- Automatiseeritud
- saadaval
- tagauks
- põhiline
- sest
- enne
- on
- Uskuma
- vahel
- ülekanne
- ehitatud
- helistama
- Kutsub
- Kampaania
- Kampaaniad
- ei saa
- lüüa
- juhul
- Centers
- sertifikaat
- muutma
- Kanal
- kontrollima
- Vali
- klass
- klassid
- selge
- kood
- koguma
- Kollektsioneerimine
- kogumine
- tulevad
- ühine
- edastama
- KOMMUNIKATSIOON
- Side
- võrdlema
- võrreldes
- võrrelda
- võrdlus
- komponendid
- Kompromissitud
- usaldus
- konfiguratsioon
- ühendus
- kontakt
- sidemed
- sisaldab
- sisu
- riikides
- riik
- Praegune
- Praegu
- andmed
- andmebaas
- kuupäev
- päev
- Avaldage lahti
- esitatud
- lähetatud
- kirjeldatud
- kirjeldus
- seade
- seadmed
- DID
- erinev
- otse
- blokeeritud
- avastasin
- levitada
- jagatud
- levitamine
- Ei tee
- domeen
- lae alla
- ajal
- iga
- Ajalugu
- kumbki
- võimaldama
- võimaldab
- krüpteeritud
- krüpteerimist
- piisavalt
- täielikult
- viga
- vead
- spionaaž
- Isegi
- sündmused
- KUNAGI
- tõend
- täitma
- täitmine
- väline
- väljavõte
- võlts
- FUNKTSIOONID
- Joonis
- fail
- Faile
- esimene
- Esimest korda
- sobima
- keskendub
- Raamistik
- tasuta
- Alates
- täielikult
- funktsionaalne
- funktsionaalsus
- funktsioonid
- tulevik
- kasu
- Galerii
- loodud
- antud
- Google Play
- Google Play Store
- anda
- toetusi
- Grupp
- Grupi omad
- aitab
- siin
- varjama
- Suur
- Avaleht
- võõrustas
- Kuidas
- aga
- HTML
- HTTPS
- ia
- tuvastatud
- identifitseerima
- tööriistad
- in
- sisaldama
- lisatud
- hõlmab
- Kaasa arvatud
- Sissetulev
- info
- esialgne
- Instagramis
- paigaldama
- selle asemel
- tahtlus
- sisemine
- Internet
- internetiühendus
- IP
- IP-aadress
- IT
- ise
- Juuli
- Võti
- võtmed
- Teadma
- kiht
- Tõenäoliselt
- piirid
- joon
- LINK
- seotud
- nimekiri
- Nimekirjad
- kohalik
- liising
- enam
- tehtud
- TEEB
- malware
- palju
- max laiuse
- vahendid
- Vastama
- sõnum
- kirjad
- Sõnumid
- sõnumitooja
- võib
- mobiilne
- mobiilirakenduse
- viis
- modifitseeritud
- modulaarne
- moodulid
- Moodulid
- Jälgida
- monitorid
- rohkem
- kõige
- MS
- nimi
- Nimega
- nimed
- Naver
- vajalik
- võrk
- Uus
- uudised
- teade
- teated
- November
- november 2021
- number
- saadud
- saamine
- saab
- pakkuma
- ametlik
- ONE
- avatud lähtekoodiga
- avatud lähtekoodiga
- tegutses
- töö
- ettevõtjad
- originaal
- Muu
- muidu
- ülevaade
- enda
- pakend
- osa
- Inimesed
- ehk
- Õigused
- telefon
- telefonikõned
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- Mängi Store
- võrra
- portree
- võimalik
- potentsiaal
- eelistusi
- olemasolu
- esitada
- esitatud
- eelmine
- varem
- Toodet
- korralikult
- kaitsma
- protokoll
- anda
- tingimusel
- annab
- avalikult
- Kirjastamine
- eesmärkidel
- HARULDANE
- Lugenud
- saadud
- saab
- rekord
- dokumenteeritud
- salvestamine
- andmed
- registreeritud
- registrite
- vabastatud
- eemaldades
- taotleda
- Taotlusi
- nõutav
- teadustöö
- Teadlased
- vastutav
- REST
- kaasa
- Tulemused
- Ilmutab
- juur
- eeskirjade
- ohutu
- sama
- Samsung
- Ekraan
- Teine
- Osa
- turvalisus
- tundub
- saatmine
- seeria-
- teenus
- Teenused
- jagatud
- peaks
- kirjutama
- allkirjastatud
- JAH
- sarnane
- sarnasused
- lihtne
- alates
- site
- Skype
- SMS
- Snapchat
- So
- mõned
- eriti
- luurad
- standard
- algus
- käivitamisel
- Veel
- ladustamine
- salvestada
- ladustatud
- kauplustes
- oja
- streaming
- tugevalt
- Edukalt
- selline
- peaks
- süsteem
- tabel
- suunatud
- sihtimine
- eesmärgid
- Telegramm
- Tencent
- Testimine
- .
- oma
- asjad
- oht
- ohus osalejad
- kolm
- Läbi
- aeg
- tinder
- et
- tööriist
- vallandada
- vallandas
- käivitamine
- puperdama
- ainulaadne
- Värskendused
- laetud
- Kasutus
- kasutama
- Kasutaja
- Kasutajad
- variant
- eri
- versioon
- Výber
- Ohver
- ohvreid
- Video
- video chat
- web
- Veebipõhine
- veebisait
- veebilehed
- M
- mis
- lai
- will
- sõna
- Töö
- töötas
- töö
- XML
- sa
- sephyrnet
