Raziskovalci družbe ESET so identificirali aktivno kampanjo StrongPity, ki distribuira trojansko različico aplikacije Android Telegram, predstavljeno kot aplikacija Shagle – storitev za video klepet, ki nima različice aplikacije.
ESET-ovi raziskovalci so identificirali aktivno kampanjo, ki smo jo pripisali skupini StrongPity APT. Kampanja, ki je aktivna od novembra 2021, distribuira zlonamerno aplikacijo prek spletnega mesta, ki se predstavlja kot Shagle – storitev naključnega videoklepeta, ki zagotavlja šifrirano komunikacijo med neznanci. Za razliko od povsem spletnega, pristnega spletnega mesta Shagle, ki ne ponuja uradne mobilne aplikacije za dostop do svojih storitev, spletno mesto posnemovalca ponuja samo aplikacijo za Android za prenos in spletno pretakanje ni mogoče.
- Samo še ena oglaševalska akcija za Android je bila prej pripisana StrongPityju.
- To je prvič, da so opisani moduli in njihova funkcionalnost javno dokumentirani.
- Spletno mesto posnemovalca, ki posnema storitev Shagle, se uporablja za distribucijo aplikacije StrongPity's backdoor za mobilne naprave.
- Aplikacija je spremenjena različica odprtokodne aplikacije Telegram, prepakirane s kodo stranskih vrat StrongPity.
- Na podlagi podobnosti s prejšnjo stransko kodo StrongPity in aplikacijo, ki je bila podpisana s potrdilom iz prejšnje kampanje StrongPity, to grožnjo pripisujemo skupini StrongPity APT.
- Zadnja vrata StrongPityja so modularna, kjer so vsi potrebni binarni moduli šifrirani z uporabo AES in preneseni s strežnika C&C, ter ima različne funkcije vohunjenja.
Zlonamerna aplikacija je v resnici popolnoma funkcionalna, vendar trojanska različica zakonite aplikacije Telegram, ki pa je predstavljena kot neobstoječa aplikacija Shagle. V nadaljevanju tega bloga ga bomo imenovali lažna aplikacija Shagle, trojanizirana aplikacija Telegram ali stranska vrata StrongPity. Izdelki ESET zaznajo to grožnjo kot Android/StrongPity.A.
Ta stranska vrata StrongPity imajo različne funkcije vohunjenja: njegovih 11 dinamično sproženih modulov je odgovornih za snemanje telefonskih klicev, zbiranje sporočil SMS, seznamov dnevnikov klicev, seznamov stikov in še veliko več. Ti moduli so dokumentirani prvič. Če žrtev zlonamerni aplikaciji StrongPity odobri storitve dostopnosti, bo imel eden od njenih modulov tudi dostop do dohodnih obvestil in bo lahko izločil komunikacijo iz 17 aplikacij, kot so Viber, Skype, Gmail, Messenger in Tinder.
Kampanja je verjetno zelo ozko usmerjena, saj telemetrija ESET še vedno ne identificira žrtev. Med našo raziskavo analizirana različica zlonamerne programske opreme, ki je na voljo na spletnem mestu copycat, ni bila več aktivna in je ni bilo več mogoče uspešno namestiti in sprožiti njene funkcije backdoor, ker StrongPity ni pridobil lastnega API ID-ja za svojo trojanizirano aplikacijo Telegram. Toda to se lahko kadar koli spremeni, če se povzročitelj grožnje odloči posodobiti zlonamerno aplikacijo.
Pregled
Ta kampanja StrongPity se osredotoča na stranska vrata Androida, dostavljena iz domene, ki vsebuje besedo »nizozemski«. To spletno mesto predstavlja zakonito storitev z imenom Shagle na shagle.com. Na sliki 1 lahko vidite domači strani obeh spletnih mest. Zlonamerna aplikacija je na voljo neposredno s spletnega mesta, ki se lažno predstavlja, in nikoli ni bila na voljo v trgovini Google Play. Je trojanizirana različica zakonite aplikacije Telegram, ki je predstavljena, kot da bi bila aplikacija Shagle, čeprav trenutno ni uradne aplikacije Shagle za Android.
Slika 1. Primerjava legitimnega spletnega mesta na levi in posnemovalca na desni
Kot lahko vidite na sliki 2, koda HTML lažnega spletnega mesta vključuje dokaz, da je bilo kopirano iz zakonitega shagle.com mesto 1. novembrast, 2021, z uporabo avtomatiziranega orodja HTTrack. Zlonamerna domena je bila registrirana na isti dan, tako da sta spletno mesto posnemovalca in lažna aplikacija Shagle morda na voljo za prenos od tega datuma.
Slika 2. Dnevniki, ustvarjeni z orodjem HTTrack, zabeleženi v kodi HTML lažnega spletnega mesta
Viktimologija
Julija 18th2022 se je eno od naših pravil YARA pri VirusTotal sprožilo, ko sta zlonamerna aplikacija in povezava do spletnega mesta posnemala shagle.com so bili naloženi. Hkrati smo bili obveščeni o Twitter o tem vzorcu, čeprav je bil zmoten pripisujejo Bahamutu. Podatki telemetrije ESET še vedno ne identificirajo žrtev, kar nakazuje, da je bila kampanja verjetno ozko ciljno usmerjena.
Pripis
APK, ki ga distribuira kopija spletnega mesta Shagle, je podpisan z enakim potrdilom o podpisovanju kode (glejte sliko 3) kot trojanska aplikacija sirske e-vlade, ki jo je leta 2021 odkril Trend Micro, kar so pripisali tudi StrongPityju.
Slika 3. To potrdilo je podpisalo lažno aplikacijo Shagle in trojanizirano aplikacijo Syrian e-gov
Zlonamerna koda v lažni aplikaciji Shagle je bila opažena v prejšnji mobilni kampanji StrongPityja in izvaja preprosta, a funkcionalna stranska vrata. Videli smo, da se ta koda uporablja samo v kampanjah, ki jih izvaja StrongPity. Na sliki 4 lahko vidite nekaj dodanih zlonamernih razredov, pri čemer so številna zamegljena imena celo enaka v kodi iz obeh kampanj.
Slika 4. Primerjava imen razreda trojanizirane sirske e-gov aplikacije (levo) in trojanizirane aplikacije Telegram (desno)
Primerjava backdoor kode iz te kampanje s tisto iz trojanizirane sirske e-gov aplikacije (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), ima razširjeno funkcionalnost, vendar z isto kodo, ki se uporablja za zagotavljanje podobnih funkcij. Na sliki 5 in sliki 6 lahko primerjate kodo iz obeh vzorcev, ki je odgovorna za pošiljanje sporočil med komponentami. Ta sporočila so odgovorna za sprožitev zlonamernega delovanja stranskih vrat. Zato smo trdno prepričani, da je lažna aplikacija Shagle povezana s skupino StrongPity.
Slika 5. Odpremnik sporočil, ki je odgovoren za sprožitev zlonamerne funkcionalnosti v trojanski aplikaciji sirske e-vlade
Slika 6. Pošiljatelj sporočil, odgovoren za sprožitev zlonamerne funkcionalnosti v lažni aplikaciji Shagle
Tehnična analiza
Začetni dostop
Kot je opisano v razdelku Pregled te objave v spletnem dnevniku, je lažna aplikacija Shagle gostovala na spletnem mestu Shagle copycat, s katerega so se žrtve morale odločiti za prenos in namestitev aplikacije. Ni bilo pretvarjanja, ki bi namigovalo, da je bila aplikacija na voljo v Googlu Play, in ne vemo, kako so bile potencialne žrtve zvabljene na lažno spletno stran ali kako drugače odkrite.
Nabor orodij
Glede na opis na spletnem mestu copycat je aplikacija brezplačna in namenjena za srečanje in klepet z novimi ljudmi. Vendar je prenesena aplikacija zlonamerno popravljena aplikacija Telegram, natančneje Telegram različice 7.5.0 (22467), ki je bila na voljo za prenos okoli 25. februarjath, 2022.
Prepakirana različica Telegrama uporablja isto ime paketa kot zakonita aplikacija Telegram. Imena paketov naj bi bila edinstveni ID-ji za vsako aplikacijo za Android in morajo biti edinstvena v kateri koli napravi. To pomeni, da če je uradna aplikacija Telegram že nameščena na napravi morebitne žrtve, te različice zakulisja ni mogoče namestiti; glejte sliko 7. To lahko pomeni eno od dveh stvari – ali povzročitelj grožnje najprej komunicira s potencialnimi žrtvami in jih prisili, naj odstranijo Telegram iz svojih naprav, če je nameščen, ali pa se kampanja osredotoča na države, kjer je uporaba Telegrama za komunikacijo redka.
Slika 7. Če je uradna aplikacija Telegram že nameščena na napravi, trojanske različice ni mogoče uspešno namestiti
StrongPityjeva trojanska aplikacija Telegram bi morala delovati tako kot uradna različica za komunikacijo, z uporabo standardnih API-jev, ki so dobro dokumentirani na spletnem mestu Telegram – vendar aplikacija ne deluje več, zato ne moremo preveriti.
Med našo raziskavo trenutna različica zlonamerne programske opreme, ki je na voljo na spletnem mestu copycat, ni bila več aktivna in je ni bilo več mogoče uspešno namestiti in sprožiti njene backdoor funkcionalnosti. Ko smo se poskušali prijaviti z našo telefonsko številko, prepakirana aplikacija Telegram ni mogla pridobiti ID-ja API-ja s strežnika in zato ni delovala pravilno. Kot je prikazano na sliki 8, je aplikacija prikazala API_ID_PUBLISHED_FLOOD napaka.
Slika 8. Napaka, prikazana med prijavo s telefonsko številko
Na podlagi Telegrama dokumentacijo o napakah, se zdi, da StrongPity ni pridobil lastnega API ID-ja. Namesto tega je za namene začetnega testiranja uporabil vzorčni ID API-ja, vključen v Telegramovo odprtokodno kodo. Telegram spremlja uporabo ID-ja API-ja in omejuje vzorčni ID ID-ja API-ja, zato njegova uporaba v izdani aplikaciji povzroči napako, prikazano na sliki 8. Zaradi napake se ni več mogoče prijaviti in uporabljati aplikacije ali sprožiti njene zlonamerne funkcije . To lahko pomeni, da operaterji StrongPity tega niso dobro premislili ali pa je bilo med objavo aplikacije in deaktivacijo s strani Telegrama dovolj časa za vohunjenje žrtev zaradi prekomerne uporabe ID-ja APP. Ker na spletnem mestu ni bila nikoli na voljo nobena nova in delujoča različica aplikacije, lahko sklepamo, da je StrongPity uspešno namestil zlonamerno programsko opremo na želene cilje.
Posledično lažna aplikacija Shagle, ki je bila v času naše raziskave na voljo na lažni spletni strani, ni bila več aktivna. Vendar se lahko to kadar koli spremeni, če se povzročitelji groženj odločijo posodobiti zlonamerno aplikacijo.
Komponente in dovoljenja, ki jih zahteva stranska koda StrongPity, so priloženi aplikaciji Telegram AndroidManifest.xml mapa. Kot je razvidno iz slike 9, je tako enostavno videti, katera dovoljenja so potrebna za zlonamerno programsko opremo.
Slika 9. AndroidManifest.xml s poudarjenimi komponentami in dovoljenji stranskih vrat StrongPity
Iz manifesta Android lahko vidimo, da so bili zlonamerni razredi dodani v org.telegram.messenger paket, ki bo prikazan kot del izvirne aplikacije.
Začetno zlonamerno funkcionalnost sproži eden od treh oddajnih sprejemnikov, ki se izvedejo po definiranih dejanjih – BOOT_COMPLETED, PRAZNA BATERIJAali USER_PRESENT. Po prvem zagonu dinamično registrira dodatne oddajne sprejemnike za spremljanje SCREEN_ON, ZASLON_IZKLOPin CONNECTIVITY_CHANGE dogodkov. Lažna aplikacija Shagle nato uporablja IPC (medprocesno komunikacijo) za komunikacijo med svojimi komponentami za sprožitev različnih dejanj. Z uporabo HTTPS vzpostavi stik s strežnikom C&C, da pošlje osnovne informacije o ogroženi napravi in prejme datoteko, šifrirano z AES, ki vsebuje 11 binarnih modulov, ki jih bo nadrejena aplikacija dinamično izvedla; glejte sliko 10. Kot je prikazano na sliki 11, so ti moduli shranjeni v notranjem pomnilniku aplikacije, /data/user/0/org.telegram.messenger/files/.li/.
Slika 10. Stranska vrata StrongPity prejme šifrirano datoteko, ki vsebuje izvedljive module
Slika 11. Moduli, prejeti s strežnika, shranjeni v notranjem pomnilniku zakulisnega strežnika StrongPity
Vsak modul je odgovoren za različne funkcije. Seznam imen modulov je shranjen v lokalnih skupnih nastavitvah v sharedconfig.xml mapa; glej sliko 12.
Nadrejena aplikacija dinamično sproži module, kadar koli je to potrebno. Vsak modul ima svoje ime modula in je odgovoren za različne funkcije, kot so:
- libarm.jar (cm modul) – beleži telefonske klice
- libmpeg4.jar (nt modul) – zbira besedilo dohodnih obvestil iz 17 aplikacij
- local.jar (fm/fp modul) – zbira seznam datotek (drevo datotek) na napravi
- phone.jar (modul ms) – zlorablja storitve dostopnosti za vohunjenje za aplikacijami za sporočanje tako, da izloči ime stika, sporočilo klepeta in datum
- resources.jar (sm modul) – zbira SMS sporočila, shranjena na napravi
- storitve.jar (lo modul) – pridobi lokacijo naprave
- systemui.jar (modul sy) – zbira informacije o napravi in sistemu
- timer.jar (ia modul) – zbira seznam nameščenih aplikacij
- toolkit.jar (cn modul) – zbira seznam stikov
- watchkit.jar (ac modul) – zbira seznam računov naprave
- wearkit.jar (cl modul) – zbira seznam dnevnikov klicev
Slika 12. Seznam modulov, ki jih uporablja stranska vrata StrongPity
Vsi pridobljeni podatki so shranjeni v preglednici /data/user/0/org.telegram.messenger/databases/outdata, preden se šifrira z uporabo AES in pošlje strežniku C&C, kot lahko vidite na sliki 13.
Slika 13. Šifrirani uporabniški podatki, eksfiltrirani na strežnik C&C
Ta stranska vrata StrongPity ima razširjene funkcije vohunjenja v primerjavi s prvo različico StrongPity, odkrito za mobilne naprave. Od žrtve lahko zahteva, da aktivira storitve dostopnosti in pridobi dostop do obvestil; glejte sliko 14. Če jih žrtev omogoči, bo zlonamerna programska oprema vohunila za dohodnimi obvestili in zlorabila storitve dostopnosti, da iz drugih aplikacij izvabi komunikacijo v klepetu.
Slika 14. Zahteve zlonamerne programske opreme od žrtve, dostop do obvestil in storitve dostopnosti
Z dostopom do obvestil lahko zlonamerna programska oprema bere prejeta obvestila, ki prihajajo iz 17 ciljnih aplikacij. Tukaj je seznam njihovih imen paketov:
- Messenger (com.facebook.orca)
- Messenger Lite (com.facebook.mlite)
- Viber – varni klepeti in klici (com.viber.voip)
- Skype (com.skype.raider)
- LINIJA: klici in sporočila (jp.naver.line.android)
- Kik – aplikacija za sporočanje in klepet (kik.android)
- tango-prenos v živo in videoklepet (com.sgiggle.production)
- Klepetalnice »Hangout« (com.google.android.talk)
- telegram (org.telegram.messenger)
- WeChat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Tinder (com.tinder)
- Novice in vsebina Hike (com.bsb.hike)
- instagram (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-Mednarodni klici in klepet (com.imo.android.imoim)
Če je naprava že zakoreninjena, zlonamerna programska oprema tiho poskuša podeliti dovoljenja za WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, za omogočanje storitev dostopnosti in za odobritev dostopa do obvestil. Zadnja vrata StrongPity nato poskušajo onemogočiti aplikacijo SecurityLogAgent (com.samsung.android.securitylogagent), ki je uradna sistemska aplikacija, ki pomaga zaščititi varnost naprav Samsung in onemogoči vsa obvestila aplikacij, ki prihajajo iz same zlonamerne programske opreme in bi se lahko v prihodnosti prikazala žrtvi v primeru napak aplikacije, zrušitev ali opozoril. Zadnja vrata StrongPity sama ne poskušajo rootati naprave.
Algoritem AES uporablja način CBC in trdo kodirane ključe za dešifriranje prenesenih modulov:
- AES ključ – aaanič nemogočebbb
- AES IV – aaaaaaathingimpos
zaključek
Mobilna kampanja, ki jo upravlja skupina StrongPity APT, je predstavljala zakonito storitev za distribucijo svojih stranskih vrat Android. StrongPity je prepakiral uradno aplikacijo Telegram, da je vključevala različico kode backdoor skupine.
Ta zlonamerna koda, njena funkcionalnost, imena razredov in potrdilo, uporabljeno za podpis datoteke APK, so enaki kot iz prejšnje kampanje; zato z veliko gotovostjo verjamemo, da ta operacija pripada skupini StrongPity.
V času naše raziskave je bil vzorec, ki je bil na voljo na spletnem mestu copycat, onemogočen zaradi API_ID_PUBLISHED_FLOOD napaka, zaradi katere se zlonamerna koda ne sproži in morebitne žrtve morebiti odstranijo nedelujočo aplikacijo iz svojih naprav.
Analiza kode razkrije, da so zadnja vrata modularna in da se dodatni binarni moduli prenesejo s strežnika C&C. To pomeni, da je mogoče število in vrsto uporabljenih modulov kadar koli spremeniti, da ustrezajo zahtevam kampanje, ko jih upravlja skupina StrongPity.
Na podlagi naše analize se zdi, da je to druga različica zlonamerne programske opreme za Android podjetja StrongPity; v primerjavi s prvo različico zlorablja tudi storitve dostopnosti in dostop do obvestil, shranjuje zbrane podatke v lokalno zbirko podatkov, poskuša izvesti su ukaze, za večino zbiranja podatkov pa uporablja prenesene module.
IoC
datoteke
| SHA-1 | Ime datoteke | Ime zaznavanja ESET | Opis |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | Android/StrongPity.A | Stranska vrata StrongPity (legitimna aplikacija Android Telegram, prepakirana z zlonamerno kodo). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za snemanje telefonskih klicev. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje besedila prejetih obvestil. |
| D44818C061269930E50868445A3418A0780903FE | local.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje seznama datotek v napravi. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | phone.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zlorabo storitev dostopnosti za vohunjenje za drugimi aplikacijami. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | resources.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje SMS sporočil, shranjenih v napravi. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | storitve.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za pridobivanje lokacije naprave. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje informacij o napravi in sistemu. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | timer.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje seznama nameščenih aplikacij. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | toolkit.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje seznama stikov. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | watchkit.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje seznama računov naprave. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | wearkit.jar | Android/StrongPity.A | Mobilni modul StrongPity, odgovoren za zbiranje seznama dnevnikov klicev. |
mreža
| IP | ponudnik | Prvič viden | podrobnosti |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircuitchip[.]com C&C |
| 185.12.46[.]138 | svinjina | 2020-04-21 | networksoftwaresegment[.]com C&C |
Tehnike MITER ATT&CK
Ta tabela je bila izdelana z uporabo različica 12 okvira MITER ATT&CK.
| Taktika | ID | Ime | Opis |
|---|---|---|---|
| Vztrajnost | T1398 | Skripti za inicializacijo zagona ali prijave | Zadnja vrata StrongPity prejme BOOT_COMPLETED namen oddajanja za aktiviranje ob zagonu naprave. |
| T1624.001 | Izvedba, ki jo sproži dogodek: oddajni sprejemniki | Funkcija stranskih vrat StrongPity se sproži, če pride do enega od teh dogodkov: PRAZNA BATERIJA, USER_PRESENT, SCREEN_ON, ZASLON_IZKLOPali CONNECTIVITY_CHANGE. | |
| Izmikanje obrambi | T1407 | Prenesite novo kodo v času izvajanja | Stranska vrata StrongPity lahko prenesejo in izvajajo dodatne binarne module. |
| T1406 | Zakrite datoteke ali informacije | Stranska vrata StrongPity uporabljajo šifriranje AES za zameglitev prenesenih modulov in skrivanje nizov v APK-ju. | |
| T1628.002 | Skrij artefakte: Utaja uporabnika | Stranska vrata StrongPity lahko onemogočijo vsa obvestila aplikacij, ki prihajajo iz same zlonamerne programske opreme, da skrijejo njeno prisotnost. | |
| T1629.003 | Oslabite obrambo: onemogočite ali spremenite orodja | Če ima stranska vrata StrongPity root, onemogoči SecurityLogAgent (com.samsung.android.securitylogagent), če je prisoten. | |
| Discovery | T1420 | Odkrivanje datotek in imenikov | Stranska vrata StrongPity lahko prikažejo razpoložljive datoteke v zunanjem pomnilniku. |
| T1418 | Odkrivanje programske opreme | Stranska vrata StrongPity lahko pridobijo seznam nameščenih aplikacij. | |
| T1422 | Odkrivanje konfiguracije sistemskega omrežja | Stranska vrata StrongPity lahko izvlečejo IMEI, IMSI, naslov IP, telefonsko številko in državo. | |
| T1426 | Odkrivanje sistemskih informacij | Stranska vrata StrongPity lahko pridobijo informacije o napravi, vključno z vrsto internetne povezave, serijsko številko kartice SIM, ID naprave in splošnimi sistemskimi informacijami. | |
| Collection | T1417.001 | Zajem vnosa: beleženje tipk | Stranska vrata StrongPity beležijo pritiske tipk v sporočilih klepeta in podatke o klicih iz ciljnih aplikacij. |
| T1517 | Dostop do obvestil | Stranska vrata StrongPity lahko zbirajo obvestila iz 17 ciljnih aplikacij. | |
| T1532 | Arhiviraj zbrane podatke | Stranska vrata StrongPity šifrirajo eksfiltrirane podatke z uporabo AES. | |
| T1430 | Sledenje lokaciji | Stranska vrata StrongPity sledijo lokaciji naprave. | |
| T1429 | Zvočni zajem | Stranska vrata StrongPity lahko snemajo telefonske klice. | |
| T1513 | screen Capture | Stranska vrata StrongPity lahko snemajo zaslon naprave z uporabo MediaProjectionManager API. | |
| T1636.002 | Zaščiteni uporabniški podatki: dnevniki klicev | Stranska vrata StrongPity lahko ekstrahirajo dnevnike klicev. | |
| T1636.003 | Zaščiteni uporabniški podatki: seznam stikov | Stranska vrata StrongPity lahko ekstrahirajo seznam stikov naprave. | |
| T1636.004 | Zaščiteni uporabniški podatki: SMS sporočila | Stranska vrata StrongPity lahko ekstrahirajo sporočila SMS. | |
| Poveljevanje in nadzor | T1437.001 | Protokol aplikacijskega sloja: spletni protokoli | Stranska vrata StrongPity uporabljajo HTTPS za komunikacijo s svojim C&C strežnikom. |
| T1521.001 | Šifrirani kanal: simetrična kriptografija | Stranska vrata StrongPity uporabljajo AES za šifriranje svoje komunikacije. | |
| Eksfiltracija | T1646 | Eksfiltracija preko kanala C2 | Stranska vrata StrongPity eksfiltrirajo podatke s pomočjo HTTPS. |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Sposobna
- O meni
- AC
- dostop
- dostopnost
- računi
- dejavnosti
- aktivna
- dodano
- Dodatne
- Naslov
- AES
- po
- algoritem
- vsi
- že
- Čeprav
- Analiza
- in
- Android
- API
- API-ji
- aplikacija
- zdi
- aplikacije
- aplikacije
- APT
- okoli
- Avtomatizirano
- Na voljo
- Zakulisni
- Osnovni
- ker
- pred
- počutje
- Verjemite
- med
- oddaja
- zgrajena
- klic
- poziva
- Akcija
- Kampanje
- ne more
- zajemanje
- primeru
- centri
- potrdilo
- spremenite
- Channel
- preveriti
- Izberite
- razred
- razredi
- jasno
- Koda
- zbiranje
- Zbiranje
- zbirka
- prihajajo
- Skupno
- komunicirajo
- Komunikacija
- Communications
- primerjate
- v primerjavi z letom
- primerjavo
- Primerjava
- deli
- Ogroženo
- zaupanje
- konfiguracija
- povezava
- kontakt
- kontakti
- Vsebuje
- vsebina
- države
- država
- Trenutna
- Trenutno
- datum
- Baze podatkov
- Datum
- dan
- Dešifriraj
- dostavi
- razporejeni
- opisano
- opis
- naprava
- naprave
- DID
- drugačen
- neposredno
- onemogočena
- odkril
- distribuirati
- porazdeljena
- distribucijo
- Ne
- domena
- prenesi
- med
- vsak
- prej
- bodisi
- omogočajo
- omogoča
- šifriran
- šifriranje
- dovolj
- popolnoma
- Napaka
- napake
- vohunjenja
- Tudi
- dogodki
- VEDNO
- dokazi
- izvršiti
- izvedba
- zunanja
- ekstrakt
- ponaredek
- Lastnosti
- Slika
- file
- datoteke
- prva
- prvič
- fit
- Osredotoča
- Okvirni
- brezplačno
- iz
- v celoti
- funkcionalno
- funkcionalnost
- funkcije
- Prihodnost
- Gain
- Galerija
- ustvarila
- dana
- Google Play
- Google Play Store
- odobri
- nepovratna sredstva
- skupina
- Skupine
- Pomaga
- tukaj
- Skrij
- visoka
- Domov
- gostila
- Kako
- Vendar
- HTML
- HTTPS
- ia
- identificirati
- identificirati
- izvedbe
- in
- vključujejo
- vključeno
- vključuje
- Vključno
- Dohodni
- Podatki
- začetna
- namestitev
- Namesto
- namen
- notranji
- Internet
- internetna povezava
- IP
- IP naslov
- IT
- sam
- julij
- Ključne
- tipke
- Vedite
- plast
- Verjeten
- Meje
- vrstica
- LINK
- povezane
- Seznam
- seznami
- lokalna
- kraj aktivnosti
- več
- je
- IZDELA
- zlonamerna programska oprema
- več
- max širine
- pomeni
- Srečati
- Sporočilo
- sporočil
- sporočanje
- Messenger
- morda
- Mobilni
- mobilna aplikacija
- način
- spremembe
- Modularna
- Moduli
- Moduli
- monitor
- monitorji
- več
- Najbolj
- MS
- Ime
- Imenovan
- Imena
- Naverno
- potrebno
- mreža
- Novo
- novice
- Obvestilo
- Obvestila
- november
- november 2021
- Številka
- pridobljeni
- pridobitev
- pridobi
- ponudba
- Uradni
- ONE
- open source
- odprtokodna koda
- upravlja
- Delovanje
- operaterji
- izvirno
- Ostalo
- drugače
- pregled
- lastne
- paket
- del
- ljudje
- mogoče
- Dovoljenja
- telefon
- telefonski klici
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- Trgovini play
- točke
- portret
- mogoče
- potencial
- nastavitve
- Prisotnost
- predstaviti
- predstavljeni
- prejšnja
- prej
- Izdelki
- pravilno
- zaščito
- protokol
- zagotavljajo
- če
- zagotavlja
- javno
- Založništvo
- namene
- REDKO
- Preberi
- prejetih
- prejme
- zapis
- Zabeležena
- Snemanje
- evidence
- registriranih
- registri
- sprosti
- odstranjevanje
- zahteva
- zahteva
- obvezna
- Raziskave
- raziskovalci
- odgovorna
- REST
- povzroči
- Rezultati
- Razkrije
- koren
- pravila
- varna
- Enako
- Samsung
- Zaslon
- drugi
- Oddelek
- varnost
- Zdi se,
- pošiljanja
- serijska
- Storitev
- Storitve
- deli
- shouldnt
- podpisati
- podpisano
- DA
- Podoben
- podobnosti
- Enostavno
- saj
- spletna stran
- Skype
- SMS
- snapchat
- So
- nekaj
- posebej
- vohunjenje
- standardna
- Začetek
- zagon
- Še vedno
- shranjevanje
- trgovina
- shranjeni
- trgovine
- tok
- pretakanje
- Močno
- Uspešno
- taka
- naj
- sistem
- miza
- ciljno
- ciljanje
- Cilji
- Telegram
- Tencent
- Testiranje
- O
- njihove
- stvari
- Grožnja
- akterji groženj
- 3
- skozi
- čas
- Trud
- do
- orodje
- sprožijo
- sprožilo
- sproži
- edinstven
- Nadgradnja
- naložili
- Uporaba
- uporaba
- uporabnik
- Uporabniki
- Variant
- različnih
- različica
- Viber
- Žrtva
- žrtve
- Video
- video klepet
- web
- Web-Based
- Spletna stran
- spletne strani
- Kaj
- ki
- široka
- bo
- beseda
- delo
- delal
- deluje
- XML
- Vi
- zefirnet
