Peneliti ESET mengidentifikasi kampanye StrongPity aktif yang mendistribusikan versi trojan dari aplikasi Telegram Android, disajikan sebagai aplikasi Shagle – layanan obrolan video yang tidak memiliki versi aplikasi
Peneliti ESET mengidentifikasi kampanye aktif yang kami kaitkan dengan grup StrongPity APT. Aktif sejak November 2021, kampanye tersebut telah mendistribusikan aplikasi jahat melalui situs web yang menyamar sebagai Shagle – layanan obrolan video acak yang menyediakan komunikasi terenkripsi antara orang asing. Tidak seperti situs Shagle asli yang sepenuhnya berbasis web yang tidak menawarkan aplikasi seluler resmi untuk mengakses layanannya, situs peniru hanya menyediakan aplikasi Android untuk diunduh dan tidak ada streaming berbasis web yang memungkinkan.
- Hanya satu kampanye Android lainnya yang sebelumnya dikaitkan dengan StrongPity.
- Ini adalah pertama kalinya modul yang dijelaskan dan fungsinya didokumentasikan secara publik.
- Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity.
- Aplikasi ini adalah versi modifikasi dari aplikasi Telegram sumber terbuka, dikemas ulang dengan kode backdoor StrongPity.
- Berdasarkan kemiripan dengan kode backdoor StrongPity sebelumnya dan aplikasi yang ditandatangani dengan sertifikat dari kampanye StrongPity sebelumnya, kami mengaitkan ancaman ini dengan grup StrongPity APT.
- Pintu belakang StrongPity bersifat modular, di mana semua modul biner yang diperlukan dienkripsi menggunakan AES dan diunduh dari server C&C-nya, dan memiliki berbagai fitur mata-mata.
Aplikasi jahat ini sebenarnya adalah versi aplikasi Telegram resmi yang berfungsi penuh tetapi di-trojanisasi, namun disajikan sebagai aplikasi Shagle yang tidak ada. Kami akan menyebutnya sebagai aplikasi Shagle palsu, aplikasi Telegram yang di-trojanisasi, atau pintu belakang StrongPity di sisa postingan blog ini. Produk ESET mendeteksi ancaman ini sebagai Android/StrongPity.A.
Pintu belakang StrongPity ini memiliki berbagai fitur mata-mata: 11 modul yang dipicu secara dinamis bertanggung jawab untuk merekam panggilan telepon, mengumpulkan pesan SMS, daftar log panggilan, daftar kontak, dan banyak lagi. Modul-modul ini didokumentasikan untuk pertama kalinya. Jika korban memberikan layanan aksesibilitas aplikasi StrongPity yang berbahaya, salah satu modulnya juga akan memiliki akses ke notifikasi yang masuk dan akan dapat mengekstraksi komunikasi dari 17 aplikasi seperti Viber, Skype, Gmail, Messenger, dan juga Tinder.
Kampanye tersebut kemungkinan besar ditargetkan secara sempit, karena telemetri ESET masih belum mengidentifikasi korban. Selama penelitian kami, versi malware yang dianalisis yang tersedia dari situs peniru tidak lagi aktif dan tidak mungkin lagi berhasil menginstalnya dan memicu fungsi pintu belakangnya karena StrongPity belum memperoleh ID API sendiri untuk aplikasi Telegram yang di-trojanisasi. Tapi itu bisa berubah kapan saja jika pelaku ancaman memutuskan untuk memperbarui aplikasi jahat.
Ringkasan
Kampanye StrongPity ini berpusat pada backdoor Android yang dikirim dari domain yang berisi kata "belanda". Situs web ini menyamar sebagai layanan resmi bernama Shagle at shagle.com. Pada Gambar 1 Anda dapat melihat beranda kedua situs web. Aplikasi jahat disediakan langsung dari situs web yang meniru dan tidak pernah tersedia dari Google Play Store. Ini adalah versi trojan dari aplikasi Telegram yang sah, disajikan seolah-olah itu adalah aplikasi Shagle, meskipun saat ini tidak ada aplikasi resmi Android Shagle.
Gambar 1. Membandingkan situs web resmi di sebelah kiri dan situs peniru di sebelah kanan
Seperti yang Anda lihat pada Gambar 2, kode HTML dari situs palsu menyertakan bukti bahwa itu disalin dari yang sah shagle.com lokasi pada 1 Novemberst, 2021, menggunakan alat otomatis HTTtrack. Domain jahat didaftarkan pada hari yang sama, sehingga situs peniru dan aplikasi Shagle palsu mungkin telah tersedia untuk diunduh sejak tanggal tersebut.
Gambar 2. Log yang dihasilkan oleh alat HTTrack direkam dalam kode HTML situs web palsu
Victimology
Pada Juli 18th, 2022, salah satu aturan YARA kami di VirusTotal dipicu saat aplikasi jahat dan tautan ke situs web meniru shagle.com diunggah. Pada saat yang sama, kami diberitahu Twitter tentang sampel itu, meskipun itu keliru dikaitkan dengan Bahamut. Data telemetri ESET masih belum mengidentifikasi korban, menunjukkan bahwa kampanye tersebut kemungkinan ditargetkan secara sempit.
Atribusi
APK yang didistribusikan oleh situs peniru Shagle ditandatangani dengan sertifikat penandatanganan kode yang sama (lihat Gambar 3) dengan aplikasi e-gov Suriah yang mengandung trojan yang ditemukan pada tahun 2021 oleh Trend Micro, yang juga dikaitkan dengan StrongPity.
Gambar 3. Sertifikat ini menandatangani aplikasi Shagle palsu dan aplikasi e-gov Suriah yang di-trojanisasi
Kode berbahaya di aplikasi Shagle palsu terlihat di kampanye seluler sebelumnya oleh StrongPity, dan mengimplementasikan backdoor yang sederhana namun fungsional. Kami telah melihat kode ini hanya digunakan dalam kampanye yang dilakukan oleh StrongPity. Pada Gambar 4 Anda dapat melihat beberapa kelas berbahaya yang ditambahkan dengan banyak nama yang dikaburkan bahkan sama dalam kode dari kedua kampanye.
Gambar 4. Perbandingan nama kelas dari aplikasi e-gov Suriah yang di-trojan (kiri) dan aplikasi Telegram yang di-trojan (kanan)
Membandingkan kode pintu belakang dari kampanye ini dengan kode dari aplikasi e-gov Suriah yang di-trojanisasi (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), itu memiliki fungsionalitas yang diperluas tetapi dengan kode yang sama digunakan untuk menyediakan fungsi serupa. Pada Gambar 5 dan Gambar 6 Anda dapat membandingkan kode dari kedua sampel yang bertanggung jawab untuk mengirim pesan antar komponen. Pesan-pesan ini bertanggung jawab untuk memicu perilaku jahat pintu belakang. Karenanya, kami sangat yakin bahwa aplikasi Shagle palsu ditautkan ke grup StrongPity.
Gambar 5. Dispatcher pesan yang bertanggung jawab untuk memicu fungsionalitas berbahaya di aplikasi e-gov Suriah yang terkena trojan
Gambar 6. Dispatcher pesan bertanggung jawab untuk memicu fungsionalitas berbahaya di aplikasi Shagle palsu
Analisis teknis
Akses awal
Seperti yang dijelaskan di bagian Ikhtisar posting blog ini, aplikasi Shagle palsu telah dihosting di situs web peniru Shagle, dari mana para korban harus memilih untuk mengunduh dan menginstal aplikasi tersebut. Tidak ada akal-akalan yang menyarankan aplikasi itu tersedia dari Google Play dan kami tidak tahu bagaimana calon korban terpikat, atau ditemukan, situs web palsu.
Toolset
Menurut deskripsi di situs peniru, aplikasi ini gratis dan dimaksudkan untuk digunakan untuk bertemu dan mengobrol dengan orang baru. Namun, aplikasi yang diunduh adalah aplikasi Telegram yang ditambal dengan jahat, khususnya Telegram versi 7.5.0 (22467), yang tersedia untuk diunduh sekitar 25 Februari.th, 2022.
Versi Telegram yang dikemas ulang menggunakan nama paket yang sama dengan aplikasi Telegram yang sah. Nama paket seharusnya merupakan ID unik untuk setiap aplikasi Android dan harus unik pada perangkat apa pun. Artinya, jika aplikasi Telegram resmi sudah terinstal di perangkat calon korban, maka versi backdoor ini tidak dapat diinstal; lihat Gambar 7. Ini mungkin berarti salah satu dari dua hal – apakah pelaku ancaman pertama-tama berkomunikasi dengan calon korban dan mendorong mereka untuk mencopot Telegram dari perangkat mereka jika terpasang, atau kampanye berfokus pada negara-negara di mana penggunaan Telegram jarang untuk komunikasi.
Gambar 7. Jika aplikasi Telegram resmi sudah terinstal di perangkat, versi trojan tidak dapat diinstal dengan sukses
Aplikasi Telegram yang di-trojanisasi StrongPity seharusnya berfungsi seperti versi resmi untuk komunikasi, menggunakan API standar yang didokumentasikan dengan baik di situs web Telegram – tetapi aplikasi tersebut tidak berfungsi lagi, jadi kami tidak dapat memeriksanya.
Selama penelitian kami, versi malware saat ini yang tersedia dari situs peniru tidak lagi aktif dan tidak mungkin lagi berhasil menginstalnya dan memicu fungsi pintu belakangnya. Saat kami mencoba mendaftar menggunakan nomor telepon kami, aplikasi Telegram yang dikemas ulang tidak dapat memperoleh ID API dari server, dan karenanya tidak berfungsi dengan baik. Seperti yang terlihat pada Gambar 8, aplikasi menampilkan sebuah API_ID_PUBLISHED_FLOOD kesalahan.
Gambar 8. Tampilan kesalahan saat mendaftar menggunakan nomor telepon
Berdasarkan Telegram dokumentasi kesalahan, tampaknya StrongPity belum mendapatkan ID API-nya sendiri. Sebaliknya, itu telah menggunakan sampel ID API yang disertakan dalam kode sumber terbuka Telegram untuk tujuan pengujian awal. Telegram memantau penggunaan ID API dan membatasi ID API sampel, sehingga penggunaannya dalam aplikasi yang dirilis menghasilkan kesalahan yang terlihat pada Gambar 8. Karena kesalahan tersebut, tidak mungkin untuk mendaftar dan menggunakan aplikasi atau memicu fungsionalitas jahatnya lagi . Ini mungkin berarti bahwa operator StrongPity tidak memikirkan hal ini, atau mungkin ada cukup waktu untuk memata-matai korban antara menerbitkan aplikasi dan dinonaktifkan oleh Telegram karena penggunaan ID APP yang berlebihan. Karena tidak ada versi aplikasi yang baru dan berfungsi yang pernah tersedia melalui situs web, ini mungkin menunjukkan bahwa StrongPity berhasil menyebarkan malware ke target yang diinginkan.
Akibatnya, aplikasi Shagle palsu yang tersedia di situs palsu pada saat penelitian kami tidak aktif lagi. Namun, ini dapat berubah kapan saja jika pelaku ancaman memutuskan untuk memperbarui aplikasi jahat.
Komponen dan izin yang diperlukan oleh kode pintu belakang StrongPity ditambahkan ke aplikasi Telegram AndroidManifest.xml mengajukan. Seperti dapat dilihat pada Gambar 9, ini memudahkan untuk melihat izin apa yang diperlukan untuk malware.
Gambar 9. AndroidManifest.xml dengan komponen dan izin backdoor StrongPity disorot
Dari manifes Android kita dapat melihat bahwa kelas berbahaya telah ditambahkan di org.telegram.messenger paket untuk muncul sebagai bagian dari aplikasi asli.
Fungsi jahat awal dipicu oleh salah satu dari tiga penerima siaran yang dijalankan setelah tindakan yang ditentukan – BOOT_SELESAI, BATERAI LEMAH, atau USER_PRESENT. Setelah permulaan pertama, secara dinamis mendaftarkan penerima siaran tambahan untuk dipantau LAYAR_ON, LAYAR_MATI, dan KONEKTIVITAS_UBAH acara. Aplikasi Shagle palsu kemudian menggunakan IPC (interprocess communication) untuk berkomunikasi antar komponennya untuk memicu berbagai tindakan. Ini menghubungi server C&C menggunakan HTTPS untuk mengirim informasi dasar tentang perangkat yang disusupi dan menerima file terenkripsi AES yang berisi 11 modul biner yang akan dieksekusi secara dinamis oleh aplikasi induk; lihat Gambar 10. Seperti yang terlihat pada Gambar 11, modul ini disimpan di penyimpanan internal aplikasi, /data/pengguna/0/org.telegram.messenger/files/.li/.
Gambar 10. Pintu belakang StrongPity menerima file terenkripsi yang berisi modul yang dapat dieksekusi
Gambar 11. Modul yang diterima dari server disimpan di penyimpanan internal pintu belakang StrongPity
Setiap modul bertanggung jawab atas fungsi yang berbeda. Daftar nama modul disimpan dalam preferensi bersama lokal di sharedconfig.xml mengajukan; lihat Gambar 12.
Modul dipicu secara dinamis oleh aplikasi induk kapan pun diperlukan. Setiap modul memiliki nama modulnya sendiri dan bertanggung jawab atas fungsi yang berbeda seperti:
- libarm.jar (modul cm) – merekam panggilan telepon
- libmpeg4.jar (modul nt) – mengumpulkan teks pesan notifikasi yang masuk dari 17 aplikasi
- lokal.jar (fm/fp module) – mengumpulkan daftar file (file tree) pada perangkat
- telepon.jar (modul ms) – menyalahgunakan layanan aksesibilitas untuk memata-matai aplikasi perpesanan dengan mengekstraksi nama kontak, pesan obrolan, dan tanggal
- sumber daya.jar (modul sm) – mengumpulkan pesan SMS yang disimpan di perangkat
- layanan.jar (lo module) – mendapatkan lokasi perangkat
- systemui.jar (modul sy) – mengumpulkan informasi perangkat dan sistem
- timer.jar (modul ia) – mengumpulkan daftar aplikasi yang terinstal
- toolkit.jar (modul cn) – mengumpulkan daftar kontak
- watchkit.jar (modul ac) – mengumpulkan daftar akun perangkat
- wearkit.jar (modul cl) – mengumpulkan daftar log panggilan
Gambar 12. Daftar modul yang digunakan oleh backdoor StrongPity
Semua data yang diperoleh disimpan di clear in /data/user/0/org.telegram.messenger/databases/outdata, sebelum dienkripsi menggunakan AES dan dikirim ke server C&C, seperti yang Anda lihat pada Gambar 13.
Gambar 13. Data pengguna yang dienkripsi diekstraksi ke server C&C
Backdoor StrongPity ini telah memperluas fitur mata-mata dibandingkan dengan versi StrongPity pertama yang ditemukan untuk seluler. Itu dapat meminta korban untuk mengaktifkan layanan aksesibilitas dan mendapatkan akses notifikasi; lihat Gambar 14. Jika korban mengaktifkannya, malware akan memata-matai notifikasi yang masuk dan menyalahgunakan layanan aksesibilitas untuk mengekstraksi komunikasi obrolan dari aplikasi lain.
Gambar 14. Permintaan malware, dari korban, akses notifikasi dan layanan aksesibilitas
Dengan akses notifikasi, malware dapat membaca pesan notifikasi yang diterima dari 17 aplikasi yang ditargetkan. Berikut adalah daftar nama paket mereka:
- Messenger (com.facebook.orca)
- utusan ringan (com.facebook.mlite)
- Viber – Obrolan dan Panggilan Aman (com.viber.voip)
- Skype (com.skype.raider)
- LINE: Panggilan & Pesan (jp.naver.line.android)
- Kik — Aplikasi Perpesanan & Obrolan (kik.android)
- tango-live streaming & obrolan video (com.sgiggle.production)
- Hangout (com.google.android.talk)
- telegram (org.telegram.messenger)
- Wechat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Rabuk (com.tinder)
- Mendaki Berita & Konten (com.bsb.hike)
- Instagram (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-Panggilan & Obrolan Internasional (com.imo.android.imoim)
Jika perangkat sudah di-root, malware secara diam-diam mencoba memberikan izin WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, untuk mengaktifkan layanan aksesibilitas, dan untuk memberikan akses notifikasi. Pintu belakang StrongPity kemudian mencoba menonaktifkan aplikasi SecurityLogAgent (com.samsung.android.securitylogagent), yang merupakan aplikasi sistem resmi yang membantu melindungi keamanan perangkat Samsung, dan menonaktifkan semua notifikasi aplikasi yang berasal dari malware itu sendiri yang mungkin ditampilkan kepada korban di masa mendatang jika terjadi kesalahan aplikasi, kerusakan, atau peringatan. Pintu belakang StrongPity sendiri tidak mencoba melakukan root pada perangkat.
Algoritme AES menggunakan mode CBC dan kunci hardcode untuk mendekripsi modul yang diunduh:
- kunci AES – aaaaanothingimpossiblebbb
- AES IV – aaaaanothingimpos
Kesimpulan
Kampanye seluler yang dioperasikan oleh grup StrongPity APT menyamar sebagai layanan yang sah untuk mendistribusikan backdoor Android-nya. StrongPity mengemas ulang aplikasi Telegram resmi untuk menyertakan varian kode backdoor grup.
Kode berbahaya itu, fungsinya, nama kelas, dan sertifikat yang digunakan untuk menandatangani file APK, sama dengan kampanye sebelumnya; jadi kami percaya dengan keyakinan tinggi bahwa operasi ini milik grup StrongPity.
Pada saat penelitian kami, sampel yang tersedia di situs peniru dinonaktifkan karena API_ID_PUBLISHED_FLOOD error, yang mengakibatkan kode berbahaya tidak terpicu dan calon korban mungkin menghapus aplikasi yang tidak berfungsi dari perangkat mereka.
Analisis kode mengungkapkan bahwa pintu belakang bersifat modular dan modul biner tambahan diunduh dari server C&C. Artinya, jumlah dan jenis modul yang digunakan dapat diubah kapan saja agar sesuai dengan permintaan kampanye saat dioperasikan oleh grup StrongPity.
Berdasarkan analisis kami, ini tampaknya merupakan versi kedua dari malware Android StrongPity; dibandingkan dengan versi pertamanya, itu juga menyalahgunakan layanan aksesibilitas dan akses pemberitahuan, menyimpan data yang dikumpulkan dalam database lokal, mencoba mengeksekusi su perintah, dan untuk sebagian besar pengumpulan data menggunakan modul yang diunduh.
IoC
File
| SHA-1 | Nama file | Nama deteksi ESET | Deskripsi Produk |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | Android/StrongPity.A | Pintu belakang StrongPity (aplikasi Telegram Android yang sah dikemas ulang dengan kode berbahaya). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk merekam panggilan telepon. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan teks notifikasi yang diterima. |
| D44818C061269930E50868445A3418A0780903FE | lokal.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan daftar file di perangkat. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | telepon.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab atas penyalahgunaan layanan aksesibilitas untuk memata-matai aplikasi lain. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | sumber daya.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan pesan SMS yang disimpan di perangkat. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | layanan.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mendapatkan lokasi perangkat. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan informasi perangkat dan sistem. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | timer.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan daftar aplikasi yang diinstal. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | toolkit.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan daftar kontak. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | watchkit.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan daftar akun perangkat. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | wearkit.jar | Android/StrongPity.A | Modul seluler StrongPity bertanggung jawab untuk mengumpulkan daftar log panggilan. |
jaringan
| IP | Penyedia | Pertama kali melihat | Rincian |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircirchip[.]com C&C |
| 185.12.46[.]138 | roti babi | 2020-04-21 | segmen perangkat lunak jaringan[.]com C&C |
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 12 dari kerangka MITRE ATT&CK.
| Taktik | ID | Nama | Deskripsi Produk |
|---|---|---|---|
| Ketekunan | T1398 | Skrip Inisialisasi Boot atau Logon | Backdoor StrongPity menerima BOOT_SELESAI maksud siaran untuk diaktifkan saat startup perangkat. |
| T1624.001 | Eksekusi yang Dipicu Peristiwa: Penerima Siaran | Fungsi pintu belakang StrongPity dipicu jika salah satu peristiwa ini terjadi: BATERAI LEMAH, USER_PRESENT, LAYAR_ON, LAYAR_MATI, atau KONEKTIVITAS_UBAH. | |
| Penghindaran Pertahanan | T1407 | Unduh Kode Baru saat Runtime | Pintu belakang StrongPity dapat mengunduh dan menjalankan modul biner tambahan. |
| T1406 | File atau Informasi yang Dikaburkan | Pintu belakang StrongPity menggunakan enkripsi AES untuk menyamarkan modul yang diunduh dan menyembunyikan string dalam APK-nya. | |
| T1628.002 | Sembunyikan Artefak: Evasion Pengguna | Pintu belakang StrongPity dapat menonaktifkan semua notifikasi aplikasi yang berasal dari malware itu sendiri untuk menyembunyikan keberadaannya. | |
| T1629.003 | Hancurkan Pertahanan: Nonaktifkan atau Ubah Alat | Jika backdoor StrongPity memiliki root, SecurityLogAgent akan dinonaktifkan (com.samsung.android.securitylogagent) jika ada. | |
| penemuan | T1420 | Penemuan File dan Direktori | Pintu belakang StrongPity dapat mencantumkan file yang tersedia di penyimpanan eksternal. |
| T1418 | Penemuan Perangkat Lunak | Pintu belakang StrongPity dapat memperoleh daftar aplikasi yang terinstal. | |
| T1422 | Penemuan Konfigurasi Jaringan Sistem | Pintu belakang StrongPity dapat mengekstrak IMEI, IMSI, alamat IP, nomor telepon, dan negara. | |
| T1426 | Penemuan Informasi Sistem | Backdoor StrongPity dapat mengekstrak informasi tentang perangkat termasuk jenis koneksi internet, nomor seri SIM, ID perangkat, dan informasi sistem umum. | |
| Koleksi | T1417.001 | Pengambilan Masukan: Keylogging | Pintu belakang StrongPity mencatat penekanan tombol dalam pesan obrolan dan data panggilan dari aplikasi yang ditargetkan. |
| T1517 | Akses Notifikasi | Backdoor StrongPity dapat mengumpulkan pesan notifikasi dari 17 aplikasi yang ditargetkan. | |
| T1532 | Arsipkan Data yang Dikumpulkan | Pintu belakang StrongPity mengenkripsi data yang dieksfiltrasi menggunakan AES. | |
| T1430 | Pelacakan Lokasi | Backdoor StrongPity melacak lokasi perangkat. | |
| T1429 | Tangkap Audio | Backdoor StrongPity dapat merekam panggilan telepon. | |
| T1513 | screen Capture | Backdoor StrongPity dapat merekam layar perangkat menggunakan Manajer Proyeksi Media API. | |
| T1636.002 | Data Pengguna yang Dilindungi: Log Panggilan | Pintu belakang StrongPity dapat mengekstrak log panggilan. | |
| T1636.003 | Data Pengguna yang Dilindungi: Daftar Kontak | Pintu belakang StrongPity dapat mengekstrak daftar kontak perangkat. | |
| T1636.004 | Data Pengguna yang Dilindungi: Pesan SMS | Pintu belakang StrongPity dapat mengekstraksi pesan SMS. | |
| Komando dan Pengendalian | T1437.001 | Protokol Lapisan Aplikasi: Protokol Web | Pintu belakang StrongPity menggunakan HTTPS untuk berkomunikasi dengan server C&C-nya. |
| T1521.001 | Saluran Terenkripsi: Kriptografi Simetris | Pintu belakang StrongPity menggunakan AES untuk mengenkripsi komunikasinya. | |
| exfiltration | T1646 | Eksfiltrasi Melalui Saluran C2 | Pintu belakang StrongPity mengekstraksi data menggunakan HTTPS. |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Sanggup
- Tentang Kami
- AC
- mengakses
- aksesibilitas
- Akun
- tindakan
- aktif
- menambahkan
- Tambahan
- alamat
- AES
- Setelah
- algoritma
- Semua
- sudah
- Meskipun
- analisis
- dan
- android
- api
- Lebah
- aplikasi
- muncul
- aplikasi
- aplikasi
- APT
- sekitar
- Otomatis
- tersedia
- pintu belakang
- dasar
- karena
- sebelum
- makhluk
- Percaya
- antara
- menyiarkan
- dibangun di
- panggilan
- Panggilan
- Kampanye
- Kampanye
- tidak bisa
- menangkap
- kasus
- Pusat
- sertifikat
- perubahan
- Saluran
- memeriksa
- Pilih
- kelas
- kelas-kelas
- jelas
- kode
- mengumpulkan
- Mengumpulkan
- koleksi
- kedatangan
- Umum
- menyampaikan
- Komunikasi
- komunikasi
- membandingkan
- dibandingkan
- pembandingan
- perbandingan
- komponen
- Dikompromikan
- kepercayaan
- konfigurasi
- koneksi
- kontak
- kontak
- mengandung
- Konten
- negara
- negara
- terbaru
- Sekarang
- data
- Basis Data
- Tanggal
- hari
- Dekripsi
- disampaikan
- dikerahkan
- dijelaskan
- deskripsi
- alat
- Devices
- MELAKUKAN
- berbeda
- langsung
- cacat
- ditemukan
- mendistribusikan
- didistribusikan
- mendistribusikan
- Tidak
- domain
- Download
- selama
- setiap
- Terdahulu
- antara
- aktif
- memungkinkan
- terenkripsi
- enkripsi
- cukup
- sepenuhnya
- kesalahan
- kesalahan
- spionase
- Bahkan
- peristiwa
- pERNAH
- bukti
- menjalankan
- eksekusi
- luar
- ekstrak
- gadungan
- Fitur
- Angka
- File
- File
- Pertama
- pertama kali
- cocok
- berfokus
- Kerangka
- Gratis
- dari
- sepenuhnya
- fungsionil
- fungsi
- fungsi
- masa depan
- Mendapatkan
- Galeri
- dihasilkan
- diberikan
- Google Play
- Play Store Google
- memberikan
- beasiswa
- Kelompok
- Grup
- membantu
- di sini
- menyembunyikan
- High
- Beranda
- host
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTML
- HTTPS
- ia
- diidentifikasi
- mengenali
- mengimplementasikan
- in
- memasukkan
- termasuk
- termasuk
- Termasuk
- masuk
- informasi
- mulanya
- install
- sebagai gantinya
- maksud
- intern
- Internet
- koneksi internet
- IP
- Alamat IP
- IT
- Diri
- Juli
- kunci
- kunci-kunci
- Tahu
- lapisan
- Mungkin
- batas
- baris
- LINK
- terkait
- Daftar
- daftar
- lokal
- tempat
- lagi
- terbuat
- MEMBUAT
- malware
- banyak
- max-width
- cara
- Pelajari
- pesan
- pesan
- pesan
- kurir
- mungkin
- mobil
- aplikasi ponsel
- mode
- dimodifikasi
- modular
- Modul
- Modul
- Memantau
- monitor
- lebih
- paling
- MS
- nama
- Bernama
- nama
- Naver
- perlu
- jaringan
- New
- berita
- pemberitahuan
- pemberitahuan
- November
- November 2021
- jumlah
- diperoleh
- mendapatkan
- memperoleh
- menawarkan
- resmi
- ONE
- open source
- kode sumber terbuka
- dioperasikan
- operasi
- operator
- asli
- Lainnya
- jika tidak
- ikhtisar
- sendiri
- paket
- bagian
- Konsultan Ahli
- mungkin
- Izin
- telepon
- panggilan telepon
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- Play Store
- poin
- potret
- mungkin
- potensi
- preferensi
- kehadiran
- menyajikan
- disajikan
- sebelumnya
- sebelumnya
- Produk
- tepat
- melindungi
- protokol
- memberikan
- disediakan
- menyediakan
- di depan umum
- Penerbitan
- tujuan
- LANGKA
- Baca
- diterima
- menerima
- catatan
- tercatat
- rekaman
- arsip
- terdaftar
- register
- dirilis
- menghapus
- permintaan
- permintaan
- wajib
- penelitian
- peneliti
- tanggung jawab
- ISTIRAHAT
- mengakibatkan
- Hasil
- Mengungkapkan
- akar
- aturan
- aman
- sama
- Samsung
- Layar
- Kedua
- Bagian
- keamanan
- tampaknya
- mengirim
- serial
- layanan
- Layanan
- berbagi
- harus
- menandatangani
- tertanda
- YA
- mirip
- kesamaan
- Sederhana
- sejak
- situs web
- skype
- SMS
- Snapchat
- So
- beberapa
- Secara khusus
- spionase
- standar
- awal
- startup
- Masih
- penyimpanan
- menyimpan
- tersimpan
- toko
- aliran
- Streaming
- sangat
- berhasil
- seperti itu
- Seharusnya
- sistem
- tabel
- ditargetkan
- penargetan
- target
- Telegram
- Tencent
- pengujian
- Grafik
- mereka
- hal
- ancaman
- aktor ancaman
- tiga
- Melalui
- waktu
- rabuk
- untuk
- alat
- memicu
- dipicu
- memicu
- unik
- Memperbarui
- upload
- penggunaan
- menggunakan
- Pengguna
- Pengguna
- Varian
- berbagai
- versi
- Viber
- Korban
- korban
- Video
- video chat
- jaringan
- berbasis web
- Situs Web
- situs web
- Apa
- yang
- lebar
- akan
- Word
- Kerja
- bekerja
- kerja
- XML
- Kamu
- zephyrnet.dll
