Analitycy firmy ESET zidentyfikowali aktywną kampanię StrongPity polegającą na dystrybucji trojanizowanej wersji aplikacji Android Telegram, prezentowanej jako aplikacja Shagle – usługa czatu wideo, która nie ma wersji aplikacji
Badacze firmy ESET zidentyfikowali aktywną kampanię, którą przypisaliśmy grupie StrongPity APT. Aktywna od listopada 2021 roku kampania rozpowszechniała złośliwą aplikację za pośrednictwem strony internetowej podszywającej się pod Shagle – usługę losowego czatu wideo, która zapewnia szyfrowaną komunikację między nieznajomymi. W przeciwieństwie do całkowicie internetowej, oryginalnej witryny Shagle, która nie oferuje oficjalnej aplikacji mobilnej umożliwiającej dostęp do swoich usług, witryna kopiująca udostępnia tylko aplikację na Androida do pobrania i nie jest możliwe przesyłanie strumieniowe przez Internet.
- Tylko jedna inna kampania na Androida została wcześniej przypisana do StrongPity.
- Po raz pierwszy opisane moduły i ich funkcjonalność zostały publicznie udokumentowane.
- Witryna naśladująca, naśladująca usługę Shagle, jest wykorzystywana do dystrybucji mobilnej aplikacji backdoor firmy StrongPity.
- Aplikacja jest zmodyfikowaną wersją aplikacji Telegram o otwartym kodzie źródłowym, przepakowaną z kodem backdoora StrongPity.
- W oparciu o podobieństwa do poprzedniego kodu backdoora StrongPity oraz aplikacji podpisanej certyfikatem z wcześniejszej kampanii StrongPity, przypisujemy to zagrożenie grupie StrongPity APT.
- Backdoor StrongPity jest modułowy, w którym wszystkie niezbędne moduły binarne są szyfrowane przy użyciu AES i pobierane z serwera C&C, i ma różne funkcje szpiegowskie.
Złośliwa aplikacja jest w rzeczywistości w pełni funkcjonalną, ale zmodyfikowaną wersją legalnej aplikacji Telegram, przedstawianą jednak jako nieistniejąca aplikacja Shagle. W pozostałej części tego wpisu na blogu będziemy go nazywać fałszywą aplikacją Shagle, trojanizowaną aplikacją Telegram lub backdoorem StrongPity. Produkty ESET wykrywają to zagrożenie jako Android/StrongPity.A.
Ten backdoor StrongPity ma różne funkcje szpiegowskie: jego 11 dynamicznie uruchamianych modułów jest odpowiedzialnych za nagrywanie rozmów telefonicznych, zbieranie wiadomości SMS, listy dzienników połączeń, listy kontaktów i wiele więcej. Moduły te są dokumentowane po raz pierwszy. Jeśli ofiara udostępni złośliwej aplikacji StrongPity usługi dostępności, jeden z jej modułów będzie miał również dostęp do przychodzących powiadomień i będzie mógł eksfiltrować komunikację z 17 aplikacji, takich jak Viber, Skype, Gmail, Messenger, a także Tinder.
Kampania jest prawdopodobnie bardzo wąsko ukierunkowana, ponieważ telemetria ESET nadal nie identyfikuje żadnych ofiar. Podczas naszych badań analizowana wersja złośliwego oprogramowania dostępna na stronie naśladowcy nie była już aktywna i nie można było jej pomyślnie zainstalować i uruchomić funkcjonalności backdoora, ponieważ StrongPity nie uzyskał własnego identyfikatora API dla swojej trojańskiej aplikacji Telegram. Ale to może się zmienić w dowolnym momencie, jeśli cyberprzestępca zdecyduje się zaktualizować złośliwą aplikację.
Przegląd
Ta kampania StrongPity koncentruje się wokół backdoora dla Androida, który pochodzi z domeny zawierającej słowo „holenderski”. Ta strona internetowa podszywa się pod legalną usługę o nazwie Shagle at shagle.com. Na rysunku 1 możesz zobaczyć strony główne obu witryn. Złośliwa aplikacja jest dostarczana bezpośrednio z podszywającej się strony internetowej i nigdy nie została udostępniona w sklepie Google Play. Jest to trojanizowana wersja legalnej aplikacji Telegram, prezentowana tak, jakby była aplikacją Shagle, chociaż obecnie nie ma oficjalnej aplikacji Shagle na Androida.
Rysunek 1. Porównanie legalnej strony internetowej po lewej stronie i naśladowcy po prawej stronie
Jak widać na rysunku 2, kod HTML fałszywej witryny zawiera dowody na to, że została ona skopiowana z legalnej strony shagle.com miejsce 1 listopadast, 2021, za pomocą zautomatyzowanego narzędzia HTTrack. Złośliwa domena została zarejestrowana tego samego dnia, więc strona naśladowcy i fałszywa aplikacja Shagle mogły być dostępne do pobrania od tego dnia.
Rysunek 2. Logi wygenerowane przez narzędzie HTTrack zapisane w kodzie HTML fałszywej strony internetowej
Victimology
Na 18 lipcath, 2022, jedna z naszych reguł YARA w VirusTotal została uruchomiona, gdy złośliwa aplikacja i link do witryny imitującej shagle.com zostały przesłane. Jednocześnie zostaliśmy powiadomieni o godz Twitter o tej próbce, chociaż było to błędne przypisywany Bahamutowi. Dane telemetryczne ESET nadal nie identyfikują żadnych ofiar, co sugeruje, że kampania była prawdopodobnie zawężona.
przypisanie
Plik APK dystrybuowany przez naśladowczą witrynę Shagle jest podpisany tym samym certyfikatem do podpisywania kodu (patrz rysunek 3), co syryjska aplikacja e-gov z trojanami odkryta w 2021 r. przez Trend Micro, co również przypisywano StrongPity.
Rysunek 3. Certyfikat ten zawierał podpisy pod fałszywą aplikacją Shagle i trojanizowaną syryjską aplikacją e-gov
Szkodliwy kod w fałszywej aplikacji Shagle został zauważony w poprzedniej kampanii mobilnej przez StrongPity i implementuje prostego, ale funkcjonalnego backdoora. Widzieliśmy, że ten kod jest używany tylko w kampaniach prowadzonych przez StrongPity. Na rysunku 4 widać niektóre z dodanych złośliwych klas, a wiele zaciemnionych nazw jest nawet takich samych w kodzie z obu kampanii.
Rysunek 4. Porównanie nazw klas zatrojanizowanej syryjskiej aplikacji e-gov (po lewej) i zatrojanizowanej aplikacji Telegram (po prawej)
Porównując kod backdoora z tej kampanii z kodem z syryjskiej aplikacji e-gov poddanej trojanizacji (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), ma rozszerzoną funkcjonalność, ale ten sam kod jest używany do zapewniania podobnych funkcji. Na rysunku 5 i rysunku 6 można porównać kod z obu próbek, który odpowiada za przesyłanie komunikatów między komponentami. Te wiadomości są odpowiedzialne za wyzwalanie złośliwego zachowania backdoora. Dlatego jesteśmy głęboko przekonani, że fałszywa aplikacja Shagle jest powiązana z grupą StrongPity.
Rysunek 5. Dyspozytor wiadomości odpowiedzialny za uruchomienie szkodliwej funkcji w syryjskiej aplikacji e-gov poddanej trojanizacji
Rysunek 6. Dyspozytor wiadomości odpowiedzialny za uruchomienie złośliwej funkcjonalności w fałszywej aplikacji Shagle
Analiza techniczna
Wstępny dostęp
Jak opisano w sekcji Przegląd tego posta na blogu, fałszywa aplikacja Shagle była hostowana na stronie naśladowcy Shagle, z której ofiary musiały wybrać pobranie i zainstalowanie aplikacji. Nie było żadnego podstępu sugerującego, że aplikacja była dostępna w Google Play i nie wiemy, w jaki sposób potencjalne ofiary zostały zwabione na fałszywą stronę internetową lub w inny sposób odkryte.
Zestaw narzędzi
Zgodnie z opisem na stronie naśladowcy, aplikacja jest bezpłatna i przeznaczona do poznawania i czatowania z nowymi ludźmi. Jednak pobrana aplikacja to złośliwie załatana aplikacja Telegram, a konkretnie Telegram w wersji 7.5.0 (22467), która była dostępna do pobrania około 25 lutegoth, 2022.
Przepakowana wersja Telegrama używa tej samej nazwy pakietu, co legalna aplikacja Telegram. Nazwy pakietów mają być unikalnymi identyfikatorami dla każdej aplikacji na Androida i muszą być unikalne na każdym urządzeniu. Oznacza to, że jeśli oficjalna aplikacja Telegram jest już zainstalowana na urządzeniu potencjalnej ofiary, nie można zainstalować tej wersji z backdoorem; patrz Rysunek 7. Może to oznaczać jedną z dwóch rzeczy – albo cyberprzestępca najpierw komunikuje się z potencjalnymi ofiarami i nakłania je do odinstalowania Telegrama z ich urządzeń, jeśli jest on zainstalowany, albo kampania koncentruje się na krajach, w których wykorzystanie Telegramu do komunikacji jest rzadkie.
Rysunek 7. Jeśli oficjalna aplikacja Telegram jest już zainstalowana na urządzeniu, nie można pomyślnie zainstalować wersji z trojanem
Trojanizowana aplikacja Telegram firmy StrongPity powinna działać tak samo jak oficjalna wersja do komunikacji, przy użyciu standardowych interfejsów API, które są dobrze udokumentowane na stronie Telegram – ale aplikacja już nie działa, więc nie możemy tego sprawdzić.
Podczas naszych badań aktualna wersja szkodliwego oprogramowania dostępna na stronie naśladowcy nie była już aktywna i nie można było jej pomyślnie zainstalować i uruchomić jego funkcji backdoora. Kiedy próbowaliśmy zarejestrować się przy użyciu naszego numeru telefonu, przepakowana aplikacja Telegram nie mogła uzyskać identyfikatora API z serwera i dlatego nie działała poprawnie. Jak widać na rysunku 8, aplikacja wyświetlała komunikat API_ID_PUBLISHED_FLOOD Błąd.
Rysunek 8. Błąd wyświetlany podczas rejestracji przy użyciu numeru telefonu
Na podstawie Telegrama dokumentacja błędów, wygląda na to, że StrongPity nie uzyskało własnego identyfikatora API. Zamiast tego użył przykładowego identyfikatora API zawartego w kodzie open source Telegrama do celów wstępnych testów. Telegram monitoruje użycie identyfikatora API i ogranicza przykładowy identyfikator API, więc jego użycie w wydanej aplikacji skutkuje błędem widocznym na rysunku 8. Z powodu błędu nie można już zarejestrować się i korzystać z aplikacji ani uruchamiać jej złośliwej funkcjonalności . Może to oznaczać, że operatorzy StrongPity tego nie przemyśleli, a może było wystarczająco dużo czasu, aby szpiegować ofiary między opublikowaniem aplikacji a jej dezaktywacją przez Telegram z powodu nadużywania identyfikatora aplikacji. Ponieważ żadna nowa i działająca wersja aplikacji nie została nigdy udostępniona za pośrednictwem strony internetowej, może to sugerować, że StrongPity z powodzeniem wdrożył złośliwe oprogramowanie do pożądanych celów.
W rezultacie fałszywa aplikacja Shagle dostępna na fałszywej stronie internetowej w czasie naszego badania nie była już aktywna. Może się to jednak zmienić w każdej chwili, jeśli cyberprzestępcy zdecydują się zaktualizować złośliwą aplikację.
Komponenty i uprawnienia wymagane przez kod backdoora StrongPity są dołączone do aplikacji Telegram AndroidManifest.xml plik. Jak widać na rysunku 9, ułatwia to sprawdzenie, jakie uprawnienia są niezbędne dla złośliwego oprogramowania.
Rysunek 9. AndroidManifest.xml z podświetlonymi komponentami i uprawnieniami backdoora StrongPity
Z manifestu Androida możemy zobaczyć, że złośliwe klasy zostały dodane w pliku org.telegram.messenger jako część oryginalnej aplikacji.
Początkowa szkodliwa funkcjonalność jest uruchamiana przez jeden z trzech odbiorników rozgłoszeniowych, które są wykonywane po określonych akcjach – BOOT_UKOŃCZONO, NISKI POZIOM BATERIIlub USER_OBECNY. Po pierwszym uruchomieniu dynamicznie rejestruje dodatkowe odbiorniki do monitorowania NA EKRANIE, WYŁACZONY EKRAN, ZMIANA ŁĄCZNOŚCI wydarzenia. Fałszywa aplikacja Shagle wykorzystuje następnie IPC (komunikację międzyprocesową) do komunikacji między jej komponentami w celu wywołania różnych działań. Kontaktuje się z serwerem C&C za pomocą protokołu HTTPS w celu wysłania podstawowych informacji o zaatakowanym urządzeniu i otrzymuje zaszyfrowany plik AES zawierający 11 modułów binarnych, które będą dynamicznie wykonywane przez aplikację nadrzędną; patrz rysunek 10. Jak widać na rysunku 11, moduły te są przechowywane w pamięci wewnętrznej aplikacji, /data/user/0/org.telegram.messenger/files/.li/.
Rysunek 10. Backdoor StrongPity otrzymuje zaszyfrowany plik zawierający moduły wykonywalne
Rysunek 11. Moduły odebrane z serwera przechowywane w pamięci wewnętrznej backdoora StrongPity
Każdy moduł odpowiada za inną funkcjonalność. Lista nazw modułów jest przechowywana w lokalnych preferencjach współdzielonych w pliku współdzielony plik konfiguracyjny.xml plik; patrz Rysunek 12.
Moduły są dynamicznie wyzwalane przez aplikację nadrzędną, gdy jest to konieczne. Każdy moduł ma swoją własną nazwę modułu i odpowiada za inną funkcjonalność taką jak:
- libarm.jar (moduł cm) – nagrywa rozmowy telefoniczne
- libmpeg4.jar (moduł nt) – zbiera tekst przychodzących powiadomień z 17 aplikacji
- lokalny.słoik (moduł fm/fp) – zbiera listę plików (drzewo plików) na urządzeniu
- telefon.słoik (moduł ms) – niewłaściwie wykorzystuje usługi ułatwień dostępu do szpiegowania aplikacji do przesyłania wiadomości poprzez eksfiltrację nazwy kontaktu, wiadomości na czacie i daty
- zasoby.słoik (moduł sm) – zbiera wiadomości SMS przechowywane na urządzeniu
- usługi.słoik (moduł lo) – uzyskuje lokalizację urządzenia
- systemi.jar (moduł sy) – gromadzi informacje o urządzeniu i systemie
- timer.jar (moduł ia) – zbiera listę zainstalowanych aplikacji
- zestaw narzędzi.jar (moduł cn) – gromadzi listę kontaktów
- zestaw zegarków.jar (moduł ac) – zbiera listę kont urządzeń
- Wearkit.jar (moduł cl) – zbiera listę dzienników połączeń
Rysunek 12. Lista modułów używanych przez backdoora StrongPity
Wszystkie uzyskane dane są przechowywane w czystym formacie /data/user/0/org.telegram.messenger/databases/outdata, przed zaszyfrowaniem przy użyciu AES i wysłaniem do serwera C&C, jak widać na rysunku 13.
Rysunek 13. Zaszyfrowane dane użytkownika wyekfiltrowane na serwer C&C
Ten backdoor StrongPity ma rozszerzone funkcje szpiegowskie w porównaniu z pierwszą wersją StrongPity odkrytą dla urządzeń mobilnych. Może poprosić ofiarę o aktywację usług ułatwień dostępu i uzyskanie dostępu do powiadomień; patrz Rysunek 14. Jeśli ofiara je włączy, złośliwe oprogramowanie będzie szpiegować przychodzące powiadomienia i niewłaściwie wykorzystuje usługi ułatwień dostępu w celu eksfiltracji komunikacji czatowej z innych aplikacji.
Rysunek 14. Żądania złośliwego oprogramowania od ofiary dotyczące dostępu do powiadomień i usług ułatwień dostępu
Mając dostęp do powiadomień, złośliwe oprogramowanie może odczytywać otrzymane powiadomienia pochodzące z 17 atakowanych aplikacji. Oto lista ich nazw pakietów:
- Messenger (com.facebook.orca)
- lekki komunikator (com.facebook.mlite)
- Viber – Bezpieczne czaty i rozmowy (com.viber.voip)
- Skype (com.skype.raider)
- LINIA: Połączenia i wiadomości (jp.naver.line.android)
- Kik — Aplikacja do przesyłania wiadomości i czatu (kik.android)
- tango – transmisja na żywo i czat wideo (com.sgiggle.produkcja)
- Hangouty (com.google.android.talk)
- telegram (org.telegram.messenger)
- WeChat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Tinder (com.tinder)
- Wiadomości i treści dotyczące pieszych wędrówek (com.bsb.wycieczka)
- na Instagramie (com.instagram.android)
- Twitterze (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-Międzynarodowe rozmowy i czat (com.imo.android.imoim)
Jeśli urządzenie jest już zrootowane, złośliwe oprogramowanie po cichu próbuje nadać mu uprawnienia WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, aby włączyć usługi ułatwień dostępu i przyznać dostęp do powiadomień. Następnie backdoor StrongPity próbuje wyłączyć aplikację SecurityLogAgent (com.samsung.android.securitylogagent), która jest oficjalną aplikacją systemową, która pomaga chronić bezpieczeństwo urządzeń Samsung i wyłącza wszystkie powiadomienia aplikacji pochodzące od samego złośliwego oprogramowania, które mogą być wyświetlane ofierze w przyszłości w przypadku błędów aplikacji, awarii lub ostrzeżeń. Backdoor StrongPity sam nie próbuje zrootować urządzenia.
Algorytm AES używa trybu CBC i zakodowanych kluczy do odszyfrowania pobranych modułów:
- klucz AES – aaaanic niemozliwebbb
- AES IV – aaaanic niesmacznego
Wnioski
Kampania mobilna prowadzona przez grupę StrongPity APT podszywała się pod legalną usługę w celu dystrybucji swojego backdoora na Androida. StrongPity przepakował oficjalną aplikację Telegram, aby zawierała wariant kodu backdoora grupy.
Szkodliwy kod, jego funkcjonalność, nazwy klas oraz certyfikat używany do podpisania pliku APK są takie same jak w poprzedniej kampanii; dlatego wierzymy z dużym przekonaniem, że ta operacja należy do grupy StrongPity.
W czasie naszych badań próbka, która była dostępna na stronie naśladowcy, była wyłączona z powodu API_ID_PUBLISHED_FLOOD błąd, który powoduje, że szkodliwy kod nie jest uruchamiany, a potencjalna ofiara prawdopodobnie usuwa niedziałającą aplikację ze swoich urządzeń.
Analiza kodu ujawnia, że backdoor jest modułowy, a dodatkowe moduły binarne są pobierane z serwera C&C. Oznacza to, że liczbę i rodzaj używanych modułów można w dowolnym momencie zmienić, aby dopasować je do żądań kampanii obsługiwanych przez grupę StrongPity.
Na podstawie naszej analizy wydaje się, że jest to druga wersja szkodliwego oprogramowania dla Androida firmy StrongPity; w porównaniu do swojej pierwszej wersji niewłaściwie wykorzystuje usługi dostępności i dostęp do powiadomień, przechowuje zebrane dane w lokalnej bazie danych, próbuje wykonywać su poleceń i dla większości zbierania danych wykorzystuje pobrane moduły.
IoC
Akta
| SHA-1 | Nazwa pliku | Nazwa wykrycia ESET | Opis |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | wideo.apk | Android/StrongPity.A | Backdoor StrongPity (legalna aplikacja Android Telegram przepakowana ze złośliwym kodem). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za nagrywanie rozmów telefonicznych. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za zbieranie tekstu otrzymanych powiadomień. |
| D44818C061269930E50868445A3418A0780903FE | lokalny.słoik | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za gromadzenie listy plików na urządzeniu. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | telefon.słoik | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za niewłaściwe wykorzystywanie usług ułatwień dostępu do szpiegowania innych aplikacji. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | zasoby.słoik | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za zbieranie wiadomości SMS zapisanych na urządzeniu. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | usługi.słoik | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za uzyskiwanie lokalizacji urządzenia. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemi.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za zbieranie informacji o urządzeniu i systemie. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | timer.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za zbieranie listy zainstalowanych aplikacji. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | zestaw narzędzi.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za gromadzenie listy kontaktów. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | zestaw zegarków.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za zbieranie listy kont urządzeń. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | Wearkit.jar | Android/StrongPity.A | Moduł mobilny StrongPity odpowiedzialny za gromadzenie listy logów połączeń. |
Sieć
| IP | Provider | Pierwszy widziany | Szczegóły |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircuitchip[.]com C&C |
| 185.12.46[.]138 | Bułka wieprzowa | 2020-04-21 | segment oprogramowania sieciowego[.]com C&C |
Techniki SKOŚNE ATT&CK
Ten stół został zbudowany przy użyciu wersja 12 ramy MITER ATT&CK.
| Taktyka | ID | Imię | Opis |
|---|---|---|---|
| Uporczywość | T1398 | Skrypty inicjujące rozruch lub logowanie | Backdoor StrongPity otrzymuje BOOT_UKOŃCZONO zamiar rozgłaszania do aktywacji podczas uruchamiania urządzenia. |
| T1624.001 | Wykonanie wyzwalane zdarzeniem: odbiorniki rozgłoszeniowe | Funkcjonalność backdoora StrongPity jest uruchamiana, jeśli wystąpi jedno z następujących zdarzeń: NISKI POZIOM BATERII, USER_OBECNY, NA EKRANIE, WYŁACZONY EKRANlub ZMIANA ŁĄCZNOŚCI. | |
| Unikanie obrony | T1407 | Pobierz nowy kod w czasie wykonywania | Backdoor StrongPity może pobierać i uruchamiać dodatkowe moduły binarne. |
| T1406 | Zaciemnione pliki lub informacje | Backdoor StrongPity wykorzystuje szyfrowanie AES do zaciemniania pobranych modułów i ukrywania ciągów znaków w swoim pliku APK. | |
| T1628.002 | Ukryj artefakty: unikanie użytkownika | Backdoor StrongPity może wyłączyć wszystkie powiadomienia aplikacji pochodzące od samego złośliwego oprogramowania, aby ukryć swoją obecność. | |
| T1629.003 | Osłabiaj obronę: wyłącz lub zmodyfikuj narzędzia | Jeśli backdoor StrongPity ma root, wyłącza SecurityLogAgent (com.samsung.android.securitylogagent) Jeśli obecny. | |
| odkrycie | T1420 | Wykrywanie plików i katalogów | Backdoor StrongPity może wyświetlić listę dostępnych plików w pamięci zewnętrznej. |
| T1418 | Wykrywanie oprogramowania | Backdoor StrongPity może uzyskać listę zainstalowanych aplikacji. | |
| T1422 | Wykrywanie konfiguracji sieci systemu | Backdoor StrongPity może wyodrębnić IMEI, IMSI, adres IP, numer telefonu i kraj. | |
| T1426 | Wykrywanie informacji o systemie | Backdoor StrongPity może wyodrębnić informacje o urządzeniu, w tym typ połączenia internetowego, numer seryjny karty SIM, identyfikator urządzenia i wspólne informacje systemowe. | |
| Collection | T1417.001 | Przechwytywanie danych wejściowych: Rejestrowanie klawiszy | Backdoor StrongPity rejestruje naciśnięcia klawiszy w wiadomościach na czacie i dane połączeń z docelowych aplikacji. |
| T1517 | Powiadomienia o dostępie | Backdoor StrongPity może zbierać powiadomienia z 17 docelowych aplikacji. | |
| T1532 | Archiwizuj zebrane dane | Backdoor StrongPity szyfruje eksfiltrowane dane przy użyciu algorytmu AES. | |
| T1430 | Śledzenie lokalizacji | Backdoor StrongPity śledzi lokalizację urządzenia. | |
| T1429 | Przechwytywanie dźwięku | Backdoor StrongPity może nagrywać rozmowy telefoniczne. | |
| T1513 | screen Capture | Backdoor StrongPity może nagrywać ekran urządzenia za pomocą Menedżer projekcji multimediów API. | |
| T1636.002 | Chronione dane użytkownika: dzienniki połączeń | Backdoor StrongPity może wyodrębniać dzienniki połączeń. | |
| T1636.003 | Chronione dane użytkownika: lista kontaktów | Backdoor StrongPity może wyodrębnić listę kontaktów urządzenia. | |
| T1636.004 | Chronione dane użytkownika: wiadomości SMS | Backdoor StrongPity może wyodrębniać wiadomości SMS. | |
| Dowodzenia i kontroli | T1437.001 | Protokół warstwy aplikacji: protokoły internetowe | Backdoor StrongPity używa HTTPS do komunikacji z serwerem C&C. |
| T1521.001 | Szyfrowany kanał: kryptografia symetryczna | Backdoor StrongPity używa algorytmu AES do szyfrowania komunikacji. | |
| Exfiltracja | T1646 | Eksfiltracja przez kanał C2 | Backdoor StrongPity eksfiltruje dane za pomocą protokołu HTTPS. |
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Zdolny
- O nas
- AC
- dostęp
- dostępność
- Konta
- działania
- aktywny
- w dodatku
- Dodatkowy
- adres
- AES
- Po
- algorytm
- Wszystkie kategorie
- już
- Chociaż
- analiza
- i
- android
- api
- Pszczoła
- Aplikacja
- zjawić się
- aplikacje
- mobilne i webowe
- APT
- na około
- zautomatyzowane
- dostępny
- tylne drzwi
- podstawowy
- bo
- zanim
- jest
- uwierzyć
- pomiędzy
- nadawanie
- wybudowany
- wezwanie
- Połączenia
- Kampania
- Kampanie
- nie może
- zdobyć
- walizka
- Centra
- świadectwo
- zmiana
- Kanał
- ZOBACZ
- Dodaj
- klasa
- Klasy
- jasny
- kod
- zbierać
- Zbieranie
- kolekcja
- przyjście
- wspólny
- komunikować
- Komunikacja
- Komunikacja
- porównać
- w porównaniu
- porównanie
- porównanie
- składniki
- Zagrożone
- pewność siebie
- systemu
- połączenie
- skontaktuj się
- łączność
- zawiera
- zawartość
- kraje
- kraj
- Aktualny
- Obecnie
- dane
- Baza danych
- Data
- dzień
- Odszyfruj
- dostarczona
- wdrażane
- opisane
- opis
- urządzenie
- urządzenia
- ZROBIŁ
- różne
- bezpośrednio
- niepełnosprawny
- odkryty
- rozprowadzać
- dystrybuowane
- rozdzielczy
- Nie
- domena
- pobieranie
- podczas
- każdy
- Wcześniej
- bądź
- umożliwiać
- Umożliwia
- szyfrowane
- szyfrowanie
- dość
- całkowicie
- błąd
- Błędy
- szpiegostwo
- Parzyste
- wydarzenia
- EVER
- dowód
- wykonać
- egzekucja
- zewnętrzny
- wyciąg
- imitacja
- Korzyści
- Postać
- filet
- Akta
- i terminów, a
- pierwszy raz
- dopasować
- koncentruje
- Framework
- Darmowy
- od
- w pełni
- funkcjonalny
- Funkcjonalność
- Funkcje
- przyszłość
- Wzrost
- Galeria
- wygenerowane
- dany
- Google play
- Sklep Google play
- przyznać
- Dotacje
- Zarządzanie
- Grupy
- pomaga
- tutaj
- Ukryj
- Wysoki
- Strona główna
- hostowane
- W jaki sposób
- Jednak
- HTML
- HTTPS
- ia
- zidentyfikowane
- zidentyfikować
- narzędzia
- in
- zawierać
- włączony
- obejmuje
- Włącznie z
- Przybywający
- Informacja
- początkowy
- zainstalować
- zamiast
- zamiar
- wewnętrzny
- Internet
- połączenie internetowe
- IP
- Adres IP
- IT
- samo
- lipiec
- Klawisz
- Klawisze
- Wiedzieć
- warstwa
- Prawdopodobnie
- Limity
- Linia
- LINK
- powiązany
- Lista
- wykazy
- miejscowy
- lokalizacja
- dłużej
- zrobiony
- WYKONUJE
- malware
- wiele
- Maksymalna szerokość
- znaczy
- Poznaj nasz
- wiadomość
- wiadomości
- wiadomości
- Messenger
- może
- Aplikacje mobilne
- Aplikacja mobilna
- Moda
- zmodyfikowano
- Modułowa
- Moduł
- Moduły
- monitor
- monitory
- jeszcze
- większość
- MS
- Nazwa
- O imieniu
- Nazwy
- Naver
- niezbędny
- sieć
- Nowości
- aktualności
- powiadomienie
- Powiadomienia
- listopad
- Listopad 2021
- numer
- uzyskane
- uzyskiwanie
- uzyskuje
- oferta
- urzędnik
- ONE
- open source
- kod open source
- eksploatowane
- działanie
- operatorzy
- oryginalny
- Inne
- Inaczej
- przegląd
- własny
- pakiet
- część
- Ludzie
- może
- uprawnienia
- telefon
- rozmowy telefoniczne
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- Play Store
- zwrotnica
- portret
- możliwy
- potencjał
- preferencje
- obecność
- teraźniejszość
- przedstawione
- poprzedni
- poprzednio
- Produkty
- prawidłowo
- chronić
- protokół
- zapewniać
- pod warunkiem,
- zapewnia
- publicznie
- Wydawniczy
- cele
- RZADKO SPOTYKANY
- Czytaj
- Odebrane
- otrzymuje
- rekord
- nagrany
- nagranie
- dokumentacja
- zarejestrowany
- rejestry
- wydany
- usuwanie
- zażądać
- wywołań
- wymagany
- Badania naukowe
- Badacze
- odpowiedzialny
- REST
- dalsze
- Efekt
- ujawnia
- korzeń
- reguły
- "bezpiecznym"
- taki sam
- Samsung
- Ekran
- druga
- Sekcja
- bezpieczeństwo
- wydaje
- wysyłanie
- seryjny
- usługa
- Usługi
- shared
- powinien
- znak
- podpisana
- TAK
- podobny
- podobieństwa
- Prosty
- ponieważ
- witryna internetowa
- Skype
- SMS
- snapchat
- So
- kilka
- swoiście
- szpiegowanie
- standard
- początek
- startup
- Nadal
- przechowywanie
- sklep
- przechowywany
- sklep
- strumień
- Streaming
- strongly
- Z powodzeniem
- taki
- domniemany
- system
- stół
- ukierunkowane
- kierowania
- cele
- Telegram
- Tencent
- Testowanie
- Połączenia
- ich
- rzeczy
- groźba
- podmioty grożące
- trzy
- Przez
- czas
- Tinder
- do
- narzędzie
- wyzwalać
- rozsierdzony
- wyzwalanie
- i twitterze
- wyjątkowy
- Aktualizacja
- przesłanych
- Stosowanie
- posługiwać się
- Użytkownik
- Użytkownicy
- Wariant
- różnorodny
- wersja
- Viber
- Ofiara
- Ofiary
- Wideo
- video chat
- sieć
- Web-based
- Strona internetowa
- strony internetowe
- Co
- który
- szeroki
- będzie
- słowo
- Praca
- pracował
- pracujący
- XML
- You
- zefirnet
