Android उपयोगकर्ताओं को लक्षित करने वाला स्ट्रांगपिटी जासूसी अभियान

ईएसईटी के शोधकर्ताओं ने एक सक्रिय अभियान की पहचान की है जिसका श्रेय हमने स्ट्रांगपीटी एपीटी समूह को दिया है। नवंबर 2021 से सक्रिय, अभियान ने एक वेबसाइट के माध्यम से एक दुर्भावनापूर्ण ऐप वितरित किया है जो शगल का प्रतिरूपण करता है - एक यादृच्छिक-वीडियो-चैट सेवा जो अजनबियों के बीच एन्क्रिप्टेड संचार प्रदान करती है। पूरी तरह से वेब-आधारित, वास्तविक शैगल साइट के विपरीत, जो अपनी सेवाओं तक पहुँचने के लिए एक आधिकारिक मोबाइल ऐप की पेशकश नहीं करती है, कॉपीकैट साइट केवल डाउनलोड करने के लिए एक एंड्रॉइड ऐप प्रदान करती है और कोई वेब-आधारित स्ट्रीमिंग संभव नहीं है।

दुर्भावनापूर्ण ऐप, वास्तव में, वैध टेलीग्राम ऐप का पूरी तरह कार्यात्मक लेकिन ट्रोजनाइज्ड संस्करण है, हालांकि, गैर-मौजूद शैगल ऐप के रूप में प्रस्तुत किया गया है। हम इस ब्लॉगपोस्ट के बाकी हिस्सों में इसे नकली शैगल ऐप, ट्रोजनाइज़्ड टेलीग्राम ऐप, या स्ट्रांगपिटी बैकडोर के रूप में संदर्भित करेंगे। ESET उत्पाद Android/StrongPity.A के रूप में इस खतरे का पता लगाते हैं।

इस स्ट्रॉन्गपिटी बैकडोर में विभिन्न जासूसी विशेषताएं हैं: इसके 11 गतिशील रूप से ट्रिगर मॉड्यूल फोन कॉल रिकॉर्ड करने, एसएमएस संदेश एकत्र करने, कॉल लॉग की सूची, संपर्क सूची और बहुत कुछ के लिए जिम्मेदार हैं। इन मॉड्यूल को पहली बार प्रलेखित किया जा रहा है। यदि पीड़ित दुर्भावनापूर्ण स्ट्रांगपिटी ऐप एक्सेसिबिलिटी सेवाएं प्रदान करता है, तो इसके मॉड्यूल में से एक के पास आने वाली सूचनाओं तक भी पहुंच होगी और यह वाइबर, स्काइप, जीमेल, मैसेंजर के साथ-साथ टिंडर जैसे 17 ऐप से संचार को बाहर निकालने में सक्षम होगा।

अभियान के संभावित रूप से बहुत संकीर्ण रूप से लक्षित है, क्योंकि ESET टेलीमेट्री अभी भी किसी पीड़ित की पहचान नहीं करती है। हमारे शोध के दौरान, कॉपीकैट वेबसाइट से उपलब्ध मालवेयर का विश्लेषण किया गया संस्करण अब सक्रिय नहीं था और इसे सफलतापूर्वक स्थापित करना और इसके पिछले दरवाजे की कार्यक्षमता को ट्रिगर करना संभव नहीं था क्योंकि स्ट्रांगपिटी ने अपने ट्रोजनाइज्ड टेलीग्राम ऐप के लिए अपनी एपीआई आईडी प्राप्त नहीं की है। लेकिन यह किसी भी समय बदल सकता है अगर धमकी देने वाला अभिनेता दुर्भावनापूर्ण ऐप को अपडेट करने का निर्णय लेता है।

अवलोकन

यह स्ट्रॉन्गपिटी अभियान "डच" शब्द वाले डोमेन से वितरित एंड्रॉइड बैकडोर के आसपास केंद्रित है। यह वेबसाइट Shagle at नामक वैध सेवा का प्रतिरूपण करती है shagle.com. चित्र 1 में आप दोनों वेबसाइटों के होम पेज देख सकते हैं। दुर्भावनापूर्ण ऐप सीधे प्रतिरूपण करने वाली वेबसाइट से प्रदान किया जाता है और इसे कभी भी Google Play स्टोर से उपलब्ध नहीं कराया गया है। यह वैध टेलीग्राम ऐप का एक ट्रोजनाइज्ड संस्करण है, जिसे प्रस्तुत किया गया है जैसे कि यह शैगल ऐप हो, हालांकि वर्तमान में कोई आधिकारिक शैगल एंड्रॉइड ऐप नहीं है।

जैसा कि आप चित्र 2 में देख सकते हैं, नकली साइट के HTML कोड में सबूत शामिल हैं कि इसे वैध साइट से कॉपी किया गया था shagle.com 1 नवंबर को साइट^st, 2021, स्वचालित टूल का उपयोग करके एचटीट्रैक. दुर्भावनापूर्ण डोमेन उसी दिन पंजीकृत किया गया था, इसलिए कॉपीकैट साइट और नकली शैगल ऐप उस तारीख से डाउनलोड के लिए उपलब्ध हो सकते हैं।

Victimology

जुलाई 18 पर^th, 2022, VirusTotal पर हमारे YARA नियमों में से एक को तब ट्रिगर किया गया था जब एक दुर्भावनापूर्ण ऐप और एक वेबसाइट के लिंक की नकल की जा रही थी shagle.com अपलोड किए गए। उसी समय, हमें सूचित किया गया था ट्विटर उस नमूने के बारे में, हालाँकि यह गलती से था बहमुत को जिम्मेदार ठहराया. ईएसईटी टेलीमेट्री डेटा अभी भी किसी भी पीड़ित की पहचान नहीं करता है, यह सुझाव देता है कि अभियान को संकीर्ण रूप से लक्षित किया जा सकता है।

आरोपण

कॉपीकैट शैगल वेबसाइट द्वारा वितरित एपीके को उसी कोड-हस्ताक्षर प्रमाणपत्र (चित्र 3 देखें) के साथ हस्ताक्षरित किया गया है, जैसा कि 2021 में ट्रोजनाइज्ड सीरियन ई-जीओ ऐप द्वारा खोजा गया था। ट्रेंड माइक्रो, जिसे स्ट्रांगपिटी के लिए भी जिम्मेदार ठहराया गया था।

नकली Shagle ऐप में दुर्भावनापूर्ण कोड को पिछले मोबाइल अभियान में स्ट्रांगपिटी द्वारा देखा गया था, और एक सरल, लेकिन कार्यात्मक, पिछले दरवाजे को लागू करता है। हमने इस कोड को केवल स्ट्रांगपिटी द्वारा चलाए गए अभियानों में इस्तेमाल होते देखा है। चित्र 4 में आप कुछ जोड़े गए दुर्भावनापूर्ण वर्गों को देख सकते हैं जिनमें से कई अस्पष्ट नाम दोनों अभियानों के कोड में समान हैं।

इस अभियान के बैकडोर कोड की तुलना ट्रोजनाइज़्ड सीरियन ई-गॉव ऐप (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), इसकी विस्तारित कार्यक्षमता है लेकिन समान कार्यों को प्रदान करने के लिए समान कोड का उपयोग किया जा रहा है। चित्र 5 और चित्र 6 में आप दोनों नमूनों से कोड की तुलना कर सकते हैं जो घटकों के बीच संदेश भेजने के लिए ज़िम्मेदार है। ये संदेश पिछले दरवाजे के दुर्भावनापूर्ण व्यवहार को ट्रिगर करने के लिए ज़िम्मेदार हैं। इसलिए, हम दृढ़ता से मानते हैं कि फर्जी शैगल ऐप स्ट्रॉन्गपिटी ग्रुप से जुड़ा हुआ है।

तकनीकी विश्लेषण

प्रारंभिक पहुंच

जैसा कि इस ब्लॉगपोस्ट के ओवरव्यू सेक्शन में बताया गया है, नकली शैगल ऐप को शैगल कॉपीकैट वेबसाइट पर होस्ट किया गया है, जहां से पीड़ितों को ऐप डाउनलोड और इंस्टॉल करना था। यह सुझाव देने के लिए कोई छलावा नहीं था कि ऐप Google Play से उपलब्ध था और हम नहीं जानते कि कैसे संभावित पीड़ितों को नकली वेबसाइट की ओर आकर्षित किया गया, या अन्यथा खोजा गया।

टूलसेट

कॉपीकैट वेबसाइट पर विवरण के अनुसार, ऐप नि: शुल्क है और इसका उपयोग नए लोगों से मिलने और चैट करने के लिए किया जाना है। हालाँकि, डाउनलोड किया गया ऐप एक दुर्भावनापूर्ण रूप से पैच किया गया टेलीग्राम ऐप है, विशेष रूप से टेलीग्राम संस्करण 7.5.0 (22467), जो 25 फरवरी के आसपास डाउनलोड के लिए उपलब्ध था^th2022.

टेलीग्राम का रीपैकेज किया गया संस्करण वैध टेलीग्राम ऐप के समान पैकेज नाम का उपयोग करता है। पैकेज के नाम को प्रत्येक एंड्रॉइड ऐप के लिए विशिष्ट आईडी माना जाता है और किसी भी डिवाइस पर अद्वितीय होना चाहिए। इसका मतलब यह है कि अगर आधिकारिक टेलीग्राम ऐप पहले से ही संभावित शिकार के डिवाइस पर इंस्टॉल है, तो यह बैकडोर वर्जन इंस्टॉल नहीं किया जा सकता है; चित्र 7 देखें। इसका मतलब दो चीजों में से एक हो सकता है - या तो खतरा अभिनेता पहले संभावित पीड़ितों के साथ संवाद करता है और उन्हें अपने उपकरणों से टेलीग्राम की स्थापना रद्द करने के लिए प्रेरित करता है, या अभियान उन देशों पर ध्यान केंद्रित करता है जहां संचार के लिए टेलीग्राम का उपयोग दुर्लभ है।

स्ट्रांगपिटी के ट्रोजनाइज्ड टेलीग्राम ऐप को वैसे ही काम करना चाहिए था जैसे आधिकारिक संस्करण संचार के लिए करता है, मानक एपीआई का उपयोग करके जो टेलीग्राम वेबसाइट पर अच्छी तरह से प्रलेखित हैं - लेकिन ऐप अब काम नहीं करता है, इसलिए हम जांच करने में असमर्थ हैं।

हमारे शोध के दौरान, कॉपीकैट वेबसाइट से उपलब्ध मैलवेयर का वर्तमान संस्करण अब सक्रिय नहीं था और इसे सफलतापूर्वक स्थापित करना और इसके पिछले दरवाजे की कार्यक्षमता को ट्रिगर करना संभव नहीं था। जब हमने अपने फोन नंबर का उपयोग करके साइन अप करने का प्रयास किया, तो रीपैकेज्ड टेलीग्राम ऐप सर्वर से एपीआई आईडी प्राप्त नहीं कर सका, और इसलिए यह ठीक से काम नहीं कर पाया। जैसा कि चित्र 8 में देखा गया है, ऐप ने एक प्रदर्शित किया API_ID_प्रकाशित_FLOOD त्रुटि।

टेलीग्राम के आधार पर त्रुटि दस्तावेज़, ऐसा लगता है कि स्ट्रॉन्गपीटी ने अपना स्वयं का एपीआई आईडी प्राप्त नहीं किया है। इसके बजाय, इसने प्रारंभिक परीक्षण उद्देश्यों के लिए टेलीग्राम के ओपन-सोर्स कोड में शामिल नमूना एपीआई आईडी का उपयोग किया है। टेलीग्राम एपीआई आईडी के उपयोग की निगरानी करता है और नमूना एपीआई आईडी को सीमित करता है, इसलिए जारी किए गए ऐप में इसके उपयोग के परिणामस्वरूप चित्र 8 में दिखाई देने वाली त्रुटि होती है। त्रुटि के कारण, साइन अप करना और ऐप का उपयोग करना या इसकी दुर्भावनापूर्ण कार्यक्षमता को ट्रिगर करना संभव नहीं है। . इसका मतलब यह हो सकता है कि स्ट्रांगपिटी ऑपरेटरों ने इसके बारे में नहीं सोचा था, या शायद ऐप को प्रकाशित करने और ऐप आईडी के अति प्रयोग के लिए टेलीग्राम द्वारा निष्क्रिय किए जाने के बीच पीड़ितों की जासूसी करने के लिए पर्याप्त समय था। चूंकि ऐप का कोई नया और काम करने वाला संस्करण कभी भी वेबसाइट के माध्यम से उपलब्ध नहीं कराया गया था, इसलिए यह सुझाव दे सकता है कि स्ट्रांगपिटी ने अपने वांछित लक्ष्यों के लिए मैलवेयर को सफलतापूर्वक तैनात किया है।

नतीजतन, हमारे शोध के समय नकली वेबसाइट पर उपलब्ध नकली शगल ऐप अब सक्रिय नहीं था। हालांकि, यह किसी भी समय बदल सकता है अगर खतरे वाले अभिनेता दुर्भावनापूर्ण ऐप को अपडेट करने का निर्णय लेते हैं।

स्ट्रांगपिटी बैकडोर कोड के घटक और आवश्यक अनुमतियां टेलीग्राम ऐप के साथ जुड़ी हुई हैं AndroidManifest.xml फ़ाइल। जैसा कि चित्र 9 में देखा जा सकता है, इससे यह देखना आसान हो जाता है कि मैलवेयर के लिए कौन सी अनुमतियाँ आवश्यक हैं।

Android मेनिफेस्ट से हम देख सकते हैं कि इसमें दुर्भावनापूर्ण वर्ग जोड़े गए थे org.telegram.messenger मूल ऐप के हिस्से के रूप में दिखाई देने वाला पैकेज।

प्रारंभिक दुर्भावनापूर्ण कार्यक्षमता तीन प्रसारण रिसीवरों में से एक द्वारा ट्रिगर की जाती है जो परिभाषित क्रियाओं के बाद निष्पादित होती हैं - बूट_पूर्ण, कम बैटरीया, उपयोगकर्ता_वर्तमान. पहली शुरुआत के बाद, यह निगरानी के लिए अतिरिक्त प्रसारण रिसीवर को गतिशील रूप से पंजीकृत करता है स्क्रीन चालू, बंद आवरण, तथा कनेक्टिविटी_परिवर्तन आयोजन। नकली शैगल ऐप विभिन्न कार्यों को ट्रिगर करने के लिए इसके घटकों के बीच संवाद करने के लिए IPC (इंटरप्रोसेस कम्युनिकेशन) का उपयोग करता है। यह समझौता किए गए डिवाइस के बारे में बुनियादी जानकारी भेजने के लिए HTTPS का उपयोग करके C&C सर्वर से संपर्क करता है और 11 बाइनरी मॉड्यूल वाली एईएस-एन्क्रिप्टेड फ़ाइल प्राप्त करता है जिसे मूल ऐप द्वारा गतिशील रूप से निष्पादित किया जाएगा; चित्र 10 देखें। जैसा कि चित्र 11 में देखा गया है, ये मॉड्यूल ऐप के आंतरिक संग्रहण में संग्रहीत हैं, /डेटा/उपयोगकर्ता/0/org.telegram.messenger/files/.li/.

प्रत्येक मॉड्यूल विभिन्न कार्यक्षमता के लिए जिम्मेदार है। मॉड्यूल नामों की सूची स्थानीय साझा प्राथमिकताओं में संग्रहीत की जाती है साझाकॉन्फिग.एक्सएमएल फ़ाइल; चित्र 12 देखें।

जब भी आवश्यक हो, पैरेंट ऐप द्वारा मॉड्यूल को गतिशील रूप से ट्रिगर किया जाता है। प्रत्येक मॉड्यूल का अपना मॉड्यूल नाम होता है और विभिन्न कार्यों के लिए जिम्मेदार होता है जैसे:

• libarm.जार (सेमी मॉड्यूल) - फोन कॉल रिकॉर्ड करता है
• libmpeg4.jar (एनटी मॉड्यूल) - 17 ऐप्स से आने वाले अधिसूचना संदेशों का पाठ एकत्र करता है
• स्थानीय जार (fm/fp मॉड्यूल) - डिवाइस पर फ़ाइल सूची (फ़ाइल ट्री) एकत्र करता है
• फोन जार (एमएस मॉड्यूल) - संपर्क नाम, चैट संदेश और तारीख को एक्सफ़िल्टर करके मैसेजिंग ऐप्स की जासूसी करने के लिए एक्सेसिबिलिटी सेवाओं का दुरुपयोग करता है
• संसाधन जार (एसएम मॉड्यूल) - डिवाइस पर संग्रहीत एसएमएस संदेश एकत्र करता है
• services.जार (लो मॉड्यूल) - डिवाइस स्थान प्राप्त करता है
• systemui.jar (एसआई मॉड्यूल) - डिवाइस और सिस्टम की जानकारी एकत्र करता है
• timer.जार (ia मॉड्यूल) - इंस्टॉल किए गए ऐप्स की सूची एकत्र करता है
• टूलकिट.जर (सीएन मॉड्यूल) - संपर्क सूची एकत्र करता है
• watchkit.jar (एसी मॉड्यूल) - डिवाइस खातों की एक सूची एकत्र करता है
• Wearkit.jar (सीएल मॉड्यूल) - कॉल लॉग्स की एक सूची एकत्र करता है

सभी प्राप्त डेटा को स्पष्ट में संग्रहीत किया जाता है /डेटा/उपयोगकर्ता/0/org.telegram.messenger/डेटाबेस/आउटडेटा, AES का उपयोग करके एन्क्रिप्ट किए जाने से पहले और C&C सर्वर पर भेजे जाने से पहले, जैसा कि आप चित्र 13 में देख सकते हैं।

मोबाइल के लिए खोजे गए पहले स्ट्रांगपिटी संस्करण की तुलना में इस स्ट्रांगपिटी बैकडोर ने जासूसी सुविधाओं को बढ़ाया है। यह पीड़ित से एक्सेसिबिलिटी सेवाओं को सक्रिय करने और नोटिफिकेशन एक्सेस प्राप्त करने का अनुरोध कर सकता है; चित्र 14 देखें। यदि पीड़ित उन्हें सक्षम करता है, तो मैलवेयर आने वाली सूचनाओं की जासूसी करेगा और अन्य ऐप्स से चैट संचार को बाहर निकालने के लिए एक्सेसिबिलिटी सेवाओं का दुरुपयोग करेगा।

चित्र 14. पीड़ित, अधिसूचना पहुंच और पहुंच सेवाओं से मैलवेयर अनुरोध

अधिसूचना पहुंच के साथ, मैलवेयर 17 लक्षित ऐप्स से आने वाले अधिसूचना संदेशों को पढ़ सकता है। यहां उनके पैकेज नामों की सूची दी गई है:

• मैसेंजर (com.facebook.orca)
• मैसेंजर लाइट (com.facebook.mlite)
• Viber - सुरक्षित चैट और कॉल (कॉम.viber.voip)
• स्काइप (com.skype.raider)
• लाइन: कॉल और संदेश (jp.naver.line.android)
• किक - मैसेजिंग और चैट ऐप (किक.एंड्रॉइड)
• टैंगो-लाइव स्ट्रीम और वीडियो चैट (कॉम.sgiggle.उत्पादन)
• हैंगआउट (com.google.android.talk)
• तार (org.telegram.messenger)
• वीचैट (com.tencent.mm)
• स्नैपचैट (com.snapchat.android)
• टिंडर (कॉम.टिंडर)
• हाइक समाचार और सामग्री (com.bsb.hike)
• इंस्टाग्राम (com.instagram.android)
• ट्विटर (com.twitter.android)
• जीमेल लगीं (com.google.android.gm)
• आईएमओ-अंतर्राष्ट्रीय कॉल और चैट (com.imo.android.imoim)

यदि डिवाइस पहले से ही रूटेड है, तो मैलवेयर चुपचाप अनुमति देने की कोशिश करता है राइट_सेटिंग्स, राइट_सिक्योर_सेटिंग्स, रिबूट, माउंट_फॉर्मेट_फाइलसिस्टम्स, संशोधित_फोन_स्टेट, पैकेज_उपयोग_स्टेट्स, रीड_प्रिवाइलेज्ड_फोन_स्टेट, एक्सेसिबिलिटी सेवाओं को सक्षम करने के लिए, और नोटिफिकेशन एक्सेस प्रदान करने के लिए। स्ट्रॉन्गपीटी पिछले दरवाजे से SecurityLogAgent ऐप को अक्षम करने का प्रयास करता है (com.samsung.android.securitylogagent), जो एक आधिकारिक सिस्टम ऐप है जो सैमसंग उपकरणों की सुरक्षा की रक्षा करने में मदद करता है, और मैलवेयर से आने वाली सभी ऐप अधिसूचनाओं को अक्षम करता है जो भविष्य में ऐप त्रुटियों, क्रैश या चेतावनियों के मामले में पीड़ित को प्रदर्शित किया जा सकता है। स्ट्रांगपिटी बैकडोर स्वयं डिवाइस को रूट करने का प्रयास नहीं करता है।

एईएस एल्गोरिदम डाउनलोड किए गए मॉड्यूल को डिक्रिप्ट करने के लिए सीबीसी मोड और हार्डकोडेड कुंजी का उपयोग करता है:

• एईएस कुंजी - आआआआआअनथिंग इम्पॉसिबलbbb
• एईएस चतुर्थ - aaanothingimpos

निष्कर्ष

स्ट्रांगपिटी एपीटी समूह द्वारा संचालित मोबाइल अभियान ने अपने एंड्रॉइड बैकडोर को वितरित करने के लिए एक वैध सेवा का प्रतिरूपण किया। स्ट्रांगपिटी ने आधिकारिक टेलीग्राम ऐप को समूह के बैकडोर कोड के एक प्रकार को शामिल करने के लिए रीपैकेज किया।

वह दुर्भावनापूर्ण कोड, उसकी कार्यक्षमता, वर्ग के नाम और एपीके फ़ाइल पर हस्ताक्षर करने के लिए उपयोग किया जाने वाला प्रमाणपत्र पिछले अभियान के समान ही हैं; इस प्रकार हम उच्च विश्वास के साथ मानते हैं कि यह ऑपरेशन स्ट्रांगपिटी समूह का है।

हमारे शोध के समय, कॉपीकैट वेबसाइट पर जो नमूना उपलब्ध था, वह निम्न के कारण अक्षम कर दिया गया था API_ID_प्रकाशित_FLOOD त्रुटि, जिसके परिणामस्वरूप दुर्भावनापूर्ण कोड को ट्रिगर नहीं किया जा रहा है और संभावित पीड़ित संभवतः अपने उपकरणों से गैर-कार्यशील ऐप को हटा रहे हैं।

कोड विश्लेषण से पता चलता है कि पिछला दरवाजा मॉड्यूलर है और सी एंड सी सर्वर से अतिरिक्त बाइनरी मॉड्यूल डाउनलोड किए जाते हैं। इसका मतलब यह है कि जब स्ट्रांगपिटी समूह द्वारा संचालित किया जाता है तो अभियान अनुरोधों को पूरा करने के लिए उपयोग किए जाने वाले मॉड्यूल की संख्या और प्रकार को किसी भी समय बदला जा सकता है।

हमारे विश्लेषण के आधार पर, यह स्ट्रांगपिटी के Android मैलवेयर का दूसरा संस्करण प्रतीत होता है; अपने पहले संस्करण की तुलना में, यह एक्सेसिबिलिटी सेवाओं और नोटिफिकेशन एक्सेस का भी दुरुपयोग करता है, एक स्थानीय डेटाबेस में एकत्रित डेटा को स्टोर करता है, निष्पादित करने का प्रयास करता है su आदेश, और अधिकांश डेटा संग्रह के लिए डाउनलोड किए गए मॉड्यूल का उपयोग करता है।

आईओसी

फ़ाइलें

शा 1	फ़ाइल नाम	ईएसईटी पहचान नाम	Description
50F79C7DFABECF04522AEB2AC987A800AB5EC6D7	वीडियो.एपीके	Android/StrongPity.A	स्ट्रांगपिटी बैकडोर (दुर्भावनापूर्ण कोड के साथ रीपैकेज किया गया वैध एंड्रॉइड टेलीग्राम ऐप)।
77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91	libarm.जार	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल फोन कॉल रिकॉर्ड करने के लिए जिम्मेदार है।
5A15F516D5C58B23E19D6A39325B4B5C5590BDE0	libmpeg4.jar	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल प्राप्त सूचनाओं के पाठ को एकत्र करने के लिए जिम्मेदार है।
D44818C061269930E50868445A3418A0780903FE	स्थानीय जार	Android/StrongPity.A	डिवाइस पर फ़ाइल सूची एकत्र करने के लिए जिम्मेदार स्ट्रांगपिटी मोबाइल मॉड्यूल।
F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE	फोन जार	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल अन्य ऐप्स की जासूसी करने के लिए एक्सेसिबिलिटी सेवाओं के दुरुपयोग के लिए जिम्मेदार है।
3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E	संसाधन जार	Android/StrongPity.A	डिवाइस पर संग्रहीत एसएमएस संदेशों को एकत्र करने के लिए स्ट्रांगपिटी मोबाइल मॉड्यूल जिम्मेदार है।
5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7	services.जार	Android/StrongPity.A	डिवाइस स्थान प्राप्त करने के लिए जिम्मेदार स्ट्रांगपिटी मोबाइल मॉड्यूल।
BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0	systemui.jar	Android/StrongPity.A	डिवाइस और सिस्टम की जानकारी एकत्र करने के लिए जिम्मेदार स्ट्रांगपिटी मोबाइल मॉड्यूल।
ED02E16F0D57E4AD2D58F95E88356C17D6396658	timer.जार	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल इंस्टॉल किए गए ऐप्स की सूची एकत्र करने के लिए जिम्मेदार है।
F754874A76E3B75A5A5C7FE849DDAE318946973B	टूलकिट.जर	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल संपर्क सूची एकत्र करने के लिए जिम्मेदार है।
E46B76CADBD7261FE750DBB9B0A82F262AFEB298	watchkit.jar	Android/StrongPity.A	डिवाइस खातों की सूची एकत्र करने के लिए जिम्मेदार स्ट्रांगपिटी मोबाइल मॉड्यूल।
D9A71B13D3061BE12EE4905647DDC2F1189F00DE	Wearkit.jar	Android/StrongPity.A	स्ट्रांगपिटी मोबाइल मॉड्यूल कॉल लॉग्स की सूची एकत्र करने के लिए जिम्मेदार है।

नेटवर्क

IP	Provider	पहले देखा	विवरण
141.255.161 [।] 185	NameCheap	2022-07-28	intagrefedcircuitchip [।] कॉम सी और सी
185.12.46 [।] 138	सुअर के माँस का बन	2020-04-21	नेटवर्क सॉफ्टवेयर सेगमेंट [।] कॉम सी और सी

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 12 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे का।

युक्ति	ID	नाम	Description
हठ	T1398	बूट या लॉगऑन इनिशियलाइज़ेशन स्क्रिप्ट	स्ट्रांगपिटी पिछले दरवाजे को प्राप्त करता है बूट_पूर्ण डिवाइस स्टार्टअप पर सक्रिय करने का इरादा प्रसारण।
	T1624.001	घटना ट्रिगर निष्पादन: प्रसारण रिसीवर	यदि इन घटनाओं में से एक होता है तो स्ट्रांगपिटी बैकडोर कार्यक्षमता शुरू हो जाती है: कम बैटरी, उपयोगकर्ता_वर्तमान, स्क्रीन चालू, बंद आवरणया, कनेक्टिविटी_परिवर्तन.
रक्षा चोरी	T1407	रनटाइम पर नया कोड डाउनलोड करें	स्ट्रांगपिटी बैकडोर अतिरिक्त बाइनरी मॉड्यूल को डाउनलोड और निष्पादित कर सकता है।
	T1406	अस्पष्ट फ़ाइलें या सूचना	स्ट्रांगपिटी बैकडोर एईएस एन्क्रिप्शन का उपयोग डाउनलोड किए गए मॉड्यूल को अस्पष्ट करने और इसके एपीके में स्ट्रिंग्स को छिपाने के लिए करता है।
	T1628.002	कलाकृतियाँ छिपाएँ: उपयोगकर्ता चोरी	स्ट्रांगपिटी बैकडोर अपनी उपस्थिति को छिपाने के लिए मैलवेयर से आने वाली सभी ऐप नोटिफिकेशन को अक्षम कर सकता है।
	T1629.003	इंपेयर डिफेंस: टूल्स को डिसेबल या मॉडिफाई करें	यदि स्ट्रांगपिटी बैकडोर में रूट है तो यह SecurityLogAgent को निष्क्रिय कर देता है (com.samsung.android.securitylogagent) अगर मौजूद है।
खोज	T1420	फ़ाइल और निर्देशिका डिस्कवरी	स्ट्रांगपिटी बैकडोर बाहरी स्टोरेज पर उपलब्ध फाइलों को सूचीबद्ध कर सकता है।
	T1418	सॉफ्टवेयर डिस्कवरी	स्ट्रांगपिटी बैकडोर स्थापित अनुप्रयोगों की एक सूची प्राप्त कर सकता है।
	T1422	सिस्टम नेटवर्क कॉन्फ़िगरेशन डिस्कवरी	स्ट्रांगपिटी बैकडोर आईएमईआई, आईएमएसआई, आईपी एड्रेस, फोन नंबर और देश निकाल सकता है।
	T1426	सिस्टम सूचना डिस्कवरी	स्ट्रांगपिटी बैकडोर इंटरनेट कनेक्शन के प्रकार, सिम सीरियल नंबर, डिवाइस आईडी और सामान्य सिस्टम जानकारी सहित डिवाइस के बारे में जानकारी निकाल सकता है।
पुस्तक संग्रह	T1417.001	इनपुट कैप्चर: कीलॉगिंग	स्ट्रांगपिटी बैकडोर चैट संदेशों में कीस्ट्रोक्स लॉग करता है और लक्षित ऐप्स से डेटा कॉल करता है।
	T1517	पहुँच सूचनाएं	स्ट्रांगपिटी बैकडोर 17 लक्षित ऐप्स से सूचना संदेश एकत्र कर सकता है।
	T1532	पुरालेख एकत्रित डेटा	स्ट्रांगपिटी बैकडोर एईएस का उपयोग करके बहिष्कृत डेटा को एन्क्रिप्ट करता है।
	T1430	स्थान ट्रैकिंग	स्ट्रॉन्गपीटी बैकडोर डिवाइस के स्थान को ट्रैक करता है।
	T1429	ऑडियो कैप्चर	स्ट्रांगपिटी बैकडोर फोन कॉल रिकॉर्ड कर सकता है।
	T1513	स्क्रीन पर कब्जा	स्ट्रांगपिटी बैकडोर डिवाइस स्क्रीन का उपयोग करके रिकॉर्ड कर सकता है मीडियाप्रोजेक्शन प्रबंधक एपीआई।
	T1636.002	संरक्षित उपयोगकर्ता डेटा: कॉल लॉग्स	स्ट्रांगपिटी बैकडोर कॉल लॉग्स निकाल सकता है।
	T1636.003	संरक्षित उपयोगकर्ता डेटा: संपर्क सूची	स्ट्रांगपिटी बैकडोर डिवाइस की संपर्क सूची निकाल सकता है।
	T1636.004	संरक्षित उपयोगकर्ता डेटा: एसएमएस संदेश	स्ट्रांगपिटी बैकडोर एसएमएस संदेश निकाल सकता है।
आदेश और नियंत्रण	T1437.001	अनुप्रयोग परत प्रोटोकॉल: वेब प्रोटोकॉल	स्ट्रांगपिटी बैकडोर अपने सी एंड सी सर्वर के साथ संचार करने के लिए एचटीटीपीएस का उपयोग करता है।
	T1521.001	एन्क्रिप्टेड चैनल: सममित क्रिप्टोग्राफी	स्ट्रांगपिटी बैकडोर अपने संचार को एन्क्रिप्ट करने के लिए एईएस का उपयोग करता है।
exfiltration	T1646	C2 चैनल पर एक्सफिल्ट्रेशन	स्ट्रॉन्गपीटी बैकडोर HTTPS का उपयोग करके डेटा को एक्सफ़िल्ट्रेट करता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/