Các nhà nghiên cứu của ESET đã xác định một chiến dịch StrongPity đang hoạt động đang phân phối phiên bản trojan của ứng dụng Telegram trên Android, được trình bày dưới dạng ứng dụng Shagle – một dịch vụ trò chuyện video không có phiên bản ứng dụng
Các nhà nghiên cứu của ESET đã xác định một chiến dịch đang hoạt động mà chúng tôi quy cho nhóm StrongPity APT. Hoạt động kể từ tháng 2021 năm XNUMX, chiến dịch đã phát tán một ứng dụng độc hại thông qua một trang web mạo danh Shagle – một dịch vụ trò chuyện video ngẫu nhiên cung cấp thông tin liên lạc được mã hóa giữa những người lạ. Không giống như trang Shagle chính hãng hoàn toàn dựa trên web không cung cấp ứng dụng di động chính thức để truy cập các dịch vụ của mình, trang sao chép chỉ cung cấp ứng dụng Android để tải xuống và không thể phát trực tuyến dựa trên web.
- Trước đây chỉ có một chiến dịch Android khác được gán cho StrongPity.
- Đây là lần đầu tiên các mô-đun được mô tả và chức năng của chúng được ghi lại công khai.
- Một trang web sao chép, bắt chước dịch vụ Shagle, được sử dụng để phân phối ứng dụng cửa hậu di động của StrongPity.
- Ứng dụng này là phiên bản sửa đổi của ứng dụng Telegram mã nguồn mở, được đóng gói lại bằng mã cửa hậu StrongPity.
- Dựa trên những điểm tương đồng với mã cửa sau StrongPity trước đây và ứng dụng được ký bằng chứng chỉ từ chiến dịch StrongPity trước đó, chúng tôi quy mối đe dọa này cho nhóm StrongPity APT.
- Cửa hậu của StrongPity là mô-đun, trong đó tất cả các mô-đun nhị phân cần thiết được mã hóa bằng AES và được tải xuống từ máy chủ C&C của nó, đồng thời có nhiều tính năng gián điệp khác nhau.
Trên thực tế, ứng dụng độc hại là một phiên bản đầy đủ chức năng nhưng đã bị trojan hóa của ứng dụng Telegram hợp pháp, tuy nhiên, được trình bày dưới dạng ứng dụng Shagle không tồn tại. Chúng tôi sẽ gọi nó là ứng dụng Shagle giả mạo, ứng dụng Telegram bị trojan hóa hoặc cửa hậu StrongPity trong phần còn lại của bài đăng trên blog này. Các sản phẩm của ESET phát hiện mối đe dọa này là Android/StrongPity.A.
Cửa hậu StrongPity này có nhiều tính năng gián điệp khác nhau: 11 mô-đun được kích hoạt động của nó chịu trách nhiệm ghi âm các cuộc gọi điện thoại, thu thập tin nhắn SMS, danh sách nhật ký cuộc gọi, danh sách liên hệ, v.v. Các mô-đun này đang được ghi lại lần đầu tiên. Nếu nạn nhân cấp các dịch vụ trợ năng của ứng dụng StrongPity độc hại, một trong các mô-đun của nó cũng sẽ có quyền truy cập vào các thông báo đến và có thể lấy cắp thông tin liên lạc từ 17 ứng dụng như Viber, Skype, Gmail, Messenger cũng như Tinder.
Chiến dịch có khả năng được nhắm mục tiêu rất hẹp, vì phép đo từ xa của ESET vẫn không xác định được bất kỳ nạn nhân nào. Trong quá trình nghiên cứu của chúng tôi, phiên bản được phân tích của phần mềm độc hại có sẵn từ trang web copycat không còn hoạt động nữa và không thể cài đặt thành công cũng như kích hoạt chức năng cửa sau của nó vì StrongPity chưa có ID API riêng cho ứng dụng Telegram bị trojan hóa. Nhưng điều đó có thể thay đổi bất cứ lúc nào nếu tác nhân đe dọa quyết định cập nhật ứng dụng độc hại.
Giới thiệu chung
Chiến dịch StrongPity này xoay quanh một cửa hậu Android được gửi từ một miền có chứa từ “dutch”. Trang web này mạo danh dịch vụ hợp pháp có tên Shagle tại shagle.com. Trong Hình 1, bạn có thể thấy trang chủ của cả hai trang web. Ứng dụng độc hại được cung cấp trực tiếp từ trang web mạo danh và chưa bao giờ được cung cấp từ cửa hàng Google Play. Nó là một phiên bản trojan của ứng dụng Telegram hợp pháp, được trình bày như thể nó là ứng dụng Shagle, mặc dù hiện tại không có ứng dụng Shagle Android chính thức nào.
Như bạn có thể thấy trong Hình 2, mã HTML của trang giả mạo bao gồm bằng chứng cho thấy nó đã được sao chép từ trang hợp pháp. shagle.com trang web vào ngày 1 tháng XNUMXst, 2021, sử dụng công cụ tự động HTTrack. Miền độc hại đã được đăng ký vào cùng ngày, vì vậy trang web sao chép và ứng dụng Shagle giả mạo có thể đã có sẵn để tải xuống kể từ ngày đó.
Nạn nhân
Vào tháng 7 18th, 2022, một trong các quy tắc YARA của chúng tôi tại VirusTotal đã được kích hoạt khi một ứng dụng độc hại và liên kết đến một trang web bắt chước shagle.com đã được tải lên. Đồng thời, chúng tôi đã được thông báo về Twitter về mẫu đó, mặc dù nó đã bị nhầm lẫn quy cho Bahamut. Dữ liệu đo từ xa của ESET vẫn không xác định được bất kỳ nạn nhân nào, cho thấy chiến dịch có thể đã được nhắm mục tiêu hẹp.
Ghi công
APK do trang web bắt chước Shagle phân phối được ký bằng cùng một chứng chỉ ký mã (xem Hình 3) như một ứng dụng chính phủ điện tử Syria bị trojan hóa được phát hiện vào năm 2021 bởi Trend Micro, cũng được quy cho StrongPity.
Mã độc hại trong ứng dụng Shagle giả mạo đã được StrongPity nhìn thấy trong chiến dịch di động trước đó và triển khai một cửa hậu đơn giản nhưng đầy đủ chức năng. Chúng tôi đã thấy mã này chỉ được sử dụng trong các chiến dịch do StrongPity thực hiện. Trong Hình 4, bạn có thể thấy một số lớp độc hại được thêm vào với nhiều tên khó hiểu thậm chí giống nhau trong mã của cả hai chiến dịch.
So sánh mã cửa hậu từ chiến dịch này với mã từ ứng dụng chính phủ điện tử Syria bị trojan hóa (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), nó có chức năng mở rộng nhưng có cùng mã được sử dụng để cung cấp các chức năng tương tự. Trong Hình 5 và Hình 6, bạn có thể so sánh mã từ cả hai mẫu chịu trách nhiệm gửi tin nhắn giữa các thành phần. Những thông báo này chịu trách nhiệm kích hoạt hành vi độc hại của cửa hậu. Do đó, chúng tôi thực sự tin rằng ứng dụng Shagle giả mạo được liên kết với nhóm StrongPity.
Phân tích kỹ thuật
Quyền truy cập ban đầu
Như được mô tả trong phần Tổng quan của bài đăng trên blog này, ứng dụng Shagle giả mạo đã được lưu trữ tại trang web bắt chước Shagle, từ đó nạn nhân phải chọn tải xuống và cài đặt ứng dụng. Không có sự che giấu nào cho thấy ứng dụng này có sẵn từ Google Play và chúng tôi không biết các nạn nhân tiềm năng đã bị dụ hoặc phát hiện ra trang web giả mạo như thế nào.
Bộ công cụ
Theo mô tả trên trang web copycat, ứng dụng này miễn phí và được dùng để gặp gỡ và trò chuyện với những người mới. Tuy nhiên, ứng dụng đã tải xuống là một ứng dụng Telegram được vá độc hại, cụ thể là Telegram phiên bản 7.5.0 (22467), có sẵn để tải xuống vào khoảng ngày 25 tháng XNUMXth, 2022.
Phiên bản đóng gói lại của Telegram sử dụng cùng tên gói với ứng dụng Telegram hợp pháp. Tên gói được coi là ID duy nhất cho mỗi ứng dụng Android và phải là duy nhất trên bất kỳ thiết bị cụ thể nào. Điều này có nghĩa là nếu ứng dụng Telegram chính thức đã được cài đặt trên thiết bị của một nạn nhân tiềm năng thì không thể cài đặt phiên bản cửa sau này; xem Hình 7. Điều này có thể có nghĩa là một trong hai điều sau – hoặc là kẻ đe dọa trước tiên liên lạc với các nạn nhân tiềm năng và thúc đẩy họ gỡ cài đặt Telegram khỏi thiết bị của họ nếu nó được cài đặt hoặc chiến dịch tập trung vào các quốc gia hiếm khi sử dụng Telegram để liên lạc.
Ứng dụng Telegram bị trojan hóa của StrongPity lẽ ra phải hoạt động giống như phiên bản chính thức để liên lạc, sử dụng các API tiêu chuẩn được ghi lại đầy đủ trên trang web Telegram – nhưng ứng dụng này không còn hoạt động nữa nên chúng tôi không thể kiểm tra.
Trong quá trình nghiên cứu của chúng tôi, phiên bản hiện tại của phần mềm độc hại có sẵn từ trang web copycat không còn hoạt động nữa và không thể cài đặt thành công cũng như kích hoạt chức năng cửa hậu của nó nữa. Khi chúng tôi cố gắng đăng ký bằng số điện thoại của mình, ứng dụng Telegram được đóng gói lại không thể lấy ID API từ máy chủ và do đó không hoạt động bình thường. Như đã thấy trong Hình 8, ứng dụng đã hiển thị một API_ID_PUBLISHED_FLOOD lỗi.
Dựa trên Telegram tài liệu lỗi, có vẻ như StrongPity chưa nhận được ID API của riêng mình. Thay vào đó, nó đã sử dụng ID API mẫu có trong mã nguồn mở của Telegram cho mục đích thử nghiệm ban đầu. Telegram giám sát việc sử dụng ID API và giới hạn ID API mẫu, vì vậy việc sử dụng nó trong một ứng dụng đã phát hành dẫn đến lỗi như trong Hình 8. Do lỗi này, không thể đăng ký và sử dụng ứng dụng hoặc kích hoạt chức năng độc hại của nó nữa . Điều này có thể có nghĩa là các nhà khai thác StrongPity đã không nghĩ đến điều này hoặc có lẽ đã có đủ thời gian để theo dõi nạn nhân giữa lúc xuất bản ứng dụng và ứng dụng bị Telegram vô hiệu hóa do lạm dụng ID APP. Vì không có phiên bản mới và đang hoạt động nào của ứng dụng được cung cấp thông qua trang web, nên có thể StrongPity đã triển khai thành công phần mềm độc hại tới các mục tiêu mong muốn.
Do đó, ứng dụng Shagle giả mạo có sẵn trên trang web giả mạo tại thời điểm chúng tôi nghiên cứu không còn hoạt động nữa. Tuy nhiên, điều này có thể thay đổi bất cứ lúc nào nếu các tác nhân đe dọa quyết định cập nhật ứng dụng độc hại.
Các thành phần và quyền được yêu cầu bởi mã cửa hậu StrongPity được thêm vào ứng dụng Telegram AndroidManifest.xml tập tin. Như có thể thấy trong Hình 9, điều này giúp bạn dễ dàng xem những quyền nào cần thiết cho phần mềm độc hại.
Từ bảng kê khai Android, chúng ta có thể thấy rằng các lớp độc hại đã được thêm vào org.telegram.mesbah gói xuất hiện như một phần của ứng dụng gốc.
Chức năng độc hại ban đầu được kích hoạt bởi một trong ba bộ thu quảng bá được thực thi sau các hành động được xác định – BOOT_COMPLETED, PIN YẾU, hoặc là USER_PRESENT. Sau lần khởi động đầu tiên, nó sẽ tự động đăng ký các bộ thu quảng bá bổ sung để giám sát SCREEN_ON, TẮT MÀN HÌNHvà KẾT NỐI_CHANGE sự kiện. Sau đó, ứng dụng Shagle giả sử dụng IPC (giao tiếp giữa các quá trình) để giao tiếp giữa các thành phần của nó nhằm kích hoạt các hành động khác nhau. Nó liên hệ với máy chủ C&C bằng HTTPS để gửi thông tin cơ bản về thiết bị bị xâm nhập và nhận tệp được mã hóa AES chứa 11 mô-đun nhị phân sẽ được ứng dụng gốc thực thi động; xem Hình 10. Như đã thấy trong Hình 11, các mô-đun này được lưu trữ trong bộ nhớ trong của ứng dụng, /data/user/0/org.telegram.messenger/files/.li/.
Mỗi mô-đun chịu trách nhiệm cho các chức năng khác nhau. Danh sách tên mô-đun được lưu trữ trong tùy chọn chia sẻ cục bộ trong chia sẻconfig.xml tập tin; xem Hình 12.
Các mô-đun được kích hoạt động bởi ứng dụng mẹ bất cứ khi nào cần thiết. Mỗi mô-đun có tên mô-đun riêng và chịu trách nhiệm về các chức năng khác nhau, chẳng hạn như:
- libarm.jar (mô-đun cm) – ghi lại các cuộc gọi điện thoại
- libmpeg4.jar (nt module) – thu thập văn bản của các tin nhắn thông báo đến từ 17 ứng dụng
- địa phương.jar (mô-đun fm/fp) – thu thập danh sách tệp (cây tệp) trên thiết bị
- điện thoại.jar (mô-đun ms) – lạm dụng các dịch vụ trợ năng để theo dõi các ứng dụng nhắn tin bằng cách lấy trộm tên liên hệ, tin nhắn trò chuyện và ngày tháng
- tài nguyên.jar (mô-đun sm) – thu thập tin nhắn SMS được lưu trữ trên thiết bị
- dịch vụ.jar (lo module) – lấy vị trí thiết bị
- systemui.jar (mô-đun sy) – thu thập thông tin hệ thống và thiết bị
- hẹn giờ.jar (ia module) – thu thập danh sách các ứng dụng đã cài đặt
- bộ công cụ.jar (mô-đun cn) – thu thập danh sách liên hệ
- watchkit.jar (mô-đun ac) – thu thập danh sách tài khoản thiết bị
- wearkit.jar (mô-đun cl) – thu thập danh sách nhật ký cuộc gọi
Tất cả dữ liệu thu được được lưu trữ rõ ràng trong /data/user/0/org.telegram.messenger/databases/outdata, trước khi được mã hóa bằng AES và gửi đến máy chủ C&C, như bạn có thể thấy trong Hình 13.
Cửa hậu StrongPity này có các tính năng gián điệp mở rộng so với phiên bản StrongPity đầu tiên được phát hiện dành cho thiết bị di động. Nó có thể yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng và có quyền truy cập thông báo; xem Hình 14. Nếu nạn nhân kích hoạt chúng, phần mềm độc hại sẽ theo dõi các thông báo đến và lạm dụng các dịch vụ trợ năng để đánh cắp thông tin liên lạc trò chuyện từ các ứng dụng khác.
Hình 14. Yêu cầu phần mềm độc hại, từ nạn nhân, quyền truy cập thông báo và dịch vụ trợ năng
Với quyền truy cập thông báo, phần mềm độc hại có thể đọc các tin nhắn thông báo đã nhận đến từ 17 ứng dụng được nhắm mục tiêu. Dưới đây là danh sách các tên gói của họ:
- Tin nhắn (com.facebook.orca)
- tin nhắn nhỏ (com.facebook.mlite)
- Viber – Trò chuyện và Cuộc gọi An toàn (com.viber.voip)
- Ứng dụng trò chuyện (com.skype.raider)
- LINE: Cuộc gọi & Tin nhắn (jp.naver.line.android)
- Kik — Ứng dụng nhắn tin & trò chuyện (kik.android)
- trò chuyện video và phát trực tiếp tango (com.sgiggle.product)
- Hangout (com.google.android.talk)
- điện tín (org.telegram.mesbah)
- Wechat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- bùi nhùi (com.tinder)
- Hike Tin tức & Nội dung (com.bsb.hike)
- instagram (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-Cuộc gọi & Trò chuyện Quốc tế (com.imo.android.imoim)
Nếu thiết bị đã được root, phần mềm độc hại sẽ âm thầm cấp quyền cho WRITE_SETTINGS, WRITE_SECURE_SETTINGS, KHỞI ĐỘNG LẠI, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, để bật dịch vụ trợ năng và cấp quyền truy cập thông báo. Sau đó, cửa hậu StrongPity cố gắng vô hiệu hóa ứng dụng SecurityLogAgent (com.samsung.android.securitylogagent), là một ứng dụng hệ thống chính thức giúp bảo vệ tính bảo mật của các thiết bị Samsung và vô hiệu hóa tất cả các thông báo ứng dụng đến từ chính phần mềm độc hại có thể hiển thị cho nạn nhân trong tương lai trong trường hợp xảy ra lỗi, sự cố hoặc cảnh báo ứng dụng. Cửa hậu StrongPity không cố gắng root thiết bị.
Thuật toán AES sử dụng chế độ CBC và các khóa được mã hóa cứng để giải mã các mô-đun đã tải xuống:
- Phím AES – aaakhông có gì là không thể đượcbbb
- AES IV – aaakhông có gì ấn tượng
Kết luận
Chiến dịch di động do nhóm StrongPity APT điều hành đã mạo danh một dịch vụ hợp pháp để phân phối cửa hậu Android của nó. StrongPity đã đóng gói lại ứng dụng Telegram chính thức để bao gồm một biến thể mã cửa hậu của nhóm.
Mã độc đó, chức năng, tên lớp và chứng chỉ được sử dụng để ký tệp APK, giống như từ chiến dịch trước đó; do đó, chúng tôi tin chắc rằng hoạt động này thuộc về nhóm StrongPity.
Tại thời điểm nghiên cứu của chúng tôi, mẫu có sẵn trên trang web copycat đã bị vô hiệu hóa do API_ID_PUBLISHED_FLOOD dẫn đến mã độc không được kích hoạt và nạn nhân tiềm năng có thể xóa ứng dụng không hoạt động khỏi thiết bị của họ.
Phân tích mã cho thấy cửa hậu là mô-đun và các mô-đun nhị phân bổ sung được tải xuống từ máy chủ C&C. Điều này có nghĩa là số lượng và loại mô-đun được sử dụng có thể được thay đổi bất kỳ lúc nào để phù hợp với các yêu cầu của chiến dịch khi được vận hành bởi nhóm StrongPity.
Dựa trên phân tích của chúng tôi, đây có vẻ là phiên bản thứ hai của phần mềm độc hại Android của StrongPity; so với phiên bản đầu tiên, nó cũng lạm dụng các dịch vụ trợ năng và truy cập thông báo, lưu trữ dữ liệu đã thu thập trong cơ sở dữ liệu cục bộ, cố gắng thực thi su các lệnh và đối với hầu hết việc thu thập dữ liệu sử dụng các mô-đun đã tải xuống.
IoC
Các tập tin
SHA-1 | Tên tập tin | Tên phát hiện ESET | Mô tả |
---|---|---|---|
50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | Android/StrongPity.A | Cửa hậu StrongPity (ứng dụng Telegram trên Android hợp pháp được đóng gói lại bằng mã độc). |
77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm ghi âm các cuộc gọi điện thoại. |
5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập văn bản của các thông báo đã nhận. |
D44818C061269930E50868445A3418A0780903FE | địa phương.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập danh sách tệp trên thiết bị. |
F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | điện thoại.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm về việc lạm dụng các dịch vụ trợ năng để theo dõi các ứng dụng khác. |
3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | tài nguyên.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập tin nhắn SMS được lưu trữ trên thiết bị. |
5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | dịch vụ.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm lấy vị trí thiết bị. |
BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập thông tin hệ thống và thiết bị. |
ED02E16F0D57E4AD2D58F95E88356C17D6396658 | hẹn giờ.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập danh sách các ứng dụng đã cài đặt. |
F754874A76E3B75A5A5C7FE849DDAE318946973B | bộ công cụ.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập danh sách liên hệ. |
E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | watchkit.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập danh sách tài khoản thiết bị. |
D9A71B13D3061BE12EE4905647DDC2F1189F00DE | wearkit.jar | Android/StrongPity.A | Mô-đun di động StrongPity chịu trách nhiệm thu thập danh sách nhật ký cuộc gọi. |
mạng
IP | Provider | Lần đầu tiên nhìn thấy | Chi tiết |
---|---|---|---|
141.255.161 [.] 185 | NameCheap | 2022-07-28 | intagrefed Circuitchip[.]com C&C |
185.12.46 [.] 138 | thịt lợn | 2020-04-21 | phân khúc phần mềm mạng[.]com C&C |
Kỹ thuật MITER ATT & CK
Bảng này được tạo bằng cách sử dụng phiên bản 12 của khung MITER ATT & CK.
Chiến thuật | ID | Họ tên | Mô tả |
---|---|---|---|
Persistence | T1398 | Tập lệnh khởi tạo khởi động hoặc đăng nhập | Cửa hậu StrongPity nhận được BOOT_COMPLETED mục đích phát sóng để kích hoạt khi khởi động thiết bị. |
T1624.001 | Thực thi kích hoạt sự kiện: Bộ thu phát sóng | Chức năng cửa hậu StrongPity được kích hoạt nếu một trong các sự kiện sau xảy ra: PIN YẾU, USER_PRESENT, SCREEN_ON, TẮT MÀN HÌNH, hoặc là KẾT NỐI_CHANGE. | |
Phòng thủ né tránh | T1407 | Tải xuống mã mới trong thời gian chạy | Cửa hậu StrongPity có thể tải xuống và thực thi các mô-đun nhị phân bổ sung. |
T1406 | Tệp hoặc thông tin bị xáo trộn | Cửa hậu StrongPity sử dụng mã hóa AES để làm xáo trộn các mô-đun đã tải xuống và ẩn các chuỗi trong APK của nó. | |
T1628.002 | Ẩn đồ tạo tác: Người dùng trốn tránh | Cửa hậu StrongPity có thể vô hiệu hóa tất cả các thông báo ứng dụng đến từ chính phần mềm độc hại để che giấu sự hiện diện của nó. | |
T1629.003 | Phòng thủ Impair: Vô hiệu hóa hoặc sửa đổi các công cụ | Nếu cửa hậu StrongPity đã root, nó sẽ vô hiệu hóa SecurityLogAgent (com.samsung.android.securitylogagent) nếu có. | |
khám phá | T1420 | Khám phá tệp và thư mục | Cửa hậu StrongPity có thể liệt kê các tệp có sẵn trên bộ nhớ ngoài. |
T1418 | Khám phá phần mềm | Cửa hậu StrongPity có thể lấy danh sách các ứng dụng đã cài đặt. | |
T1422 | Khám phá cấu hình mạng hệ thống | Cửa hậu StrongPity có thể trích xuất IMEI, IMSI, địa chỉ IP, số điện thoại và quốc gia. | |
T1426 | Khám phá thông tin hệ thống | Cửa hậu StrongPity có thể trích xuất thông tin về thiết bị bao gồm loại kết nối internet, số sê-ri SIM, ID thiết bị và thông tin hệ thống phổ biến. | |
Bộ sưu tập | T1417.001 | Chụp đầu vào: Keylogging | Cửa hậu StrongPity ghi lại các lần nhấn phím trong tin nhắn trò chuyện và dữ liệu cuộc gọi từ các ứng dụng được nhắm mục tiêu. |
T1517 | Truy cập thông báo | Cửa hậu StrongPity có thể thu thập tin nhắn thông báo từ 17 ứng dụng được nhắm mục tiêu. | |
T1532 | Lưu trữ dữ liệu đã thu thập | Cửa hậu StrongPity mã hóa dữ liệu bị lọc bằng AES. | |
T1430 | Theo dõi vị trí | Cửa hậu StrongPity theo dõi vị trí thiết bị. | |
T1429 | Chụp âm thanh | Cửa hậu StrongPity có thể ghi lại các cuộc gọi điện thoại. | |
T1513 | Chụp màn hình | Cửa hậu StrongPity có thể ghi lại màn hình thiết bị bằng cách sử dụng MediaProjectionManager API. | |
T1636.002 | Dữ liệu người dùng được bảo vệ: Nhật ký cuộc gọi | Cửa hậu StrongPity có thể trích xuất nhật ký cuộc gọi. | |
T1636.003 | Dữ liệu người dùng được bảo vệ: Danh sách liên hệ | Cửa hậu StrongPity có thể trích xuất danh sách liên hệ của thiết bị. | |
T1636.004 | Dữ liệu người dùng được bảo vệ: Tin nhắn SMS | Cửa hậu StrongPity có thể trích xuất tin nhắn SMS. | |
Lệnh và kiểm soát | T1437.001 | Giao thức lớp ứng dụng: Giao thức web | Cửa hậu StrongPity sử dụng HTTPS để giao tiếp với máy chủ C&C của nó. |
T1521.001 | Kênh được mã hóa: Mật mã đối xứng | Cửa hậu StrongPity sử dụng AES để mã hóa thông tin liên lạc của nó. | |
Lọc | T1646 | Lọc qua kênh C2 | Cửa hậu StrongPity lọc dữ liệu bằng HTTPS. |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
- 1
- 10
- 1040
- 11
- 2021
- 2022
- 7
- 9
- a
- Có khả năng
- Giới thiệu
- AC
- truy cập
- khả năng tiếp cận
- Trợ Lý Giám Đốc
- hành động
- hoạt động
- thêm
- thêm vào
- địa chỉ
- AES
- Sau
- thuật toán
- Tất cả
- Đã
- Mặc dù
- phân tích
- và
- Android
- api
- API
- ứng dụng
- xuất hiện
- các ứng dụng
- ứng dụng
- APT
- xung quanh
- Tự động
- có sẵn
- cửa sau
- cơ bản
- bởi vì
- trước
- được
- Tin
- giữa
- phát sóng
- xây dựng
- cuộc gọi
- Cuộc gọi
- Chiến dịch
- Chiến dịch
- không thể
- nắm bắt
- trường hợp
- Trung tâm
- Giấy chứng nhận
- thay đổi
- Kênh
- kiểm tra
- Chọn
- tốt nghiệp lớp XNUMX
- các lớp học
- trong sáng
- mã
- thu thập
- Thu
- bộ sưu tập
- đến
- Chung
- giao tiếp
- Giao tiếp
- Truyền thông
- so sánh
- so
- so sánh
- sự so sánh
- các thành phần
- Thỏa hiệp
- sự tự tin
- Cấu hình
- liên quan
- liên lạc
- Liên hệ
- chứa
- nội dung
- nước
- đất nước
- Current
- Hiện nay
- dữ liệu
- Cơ sở dữ liệu
- Ngày
- ngày
- Giải mã
- giao
- triển khai
- mô tả
- Mô tả
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- khác nhau
- trực tiếp
- bị vô hiệu hóa
- phát hiện
- phân phát
- phân phối
- phân phối
- Không
- miền
- tải về
- suốt trong
- mỗi
- Sớm hơn
- hay
- cho phép
- cho phép
- mã hóa
- mã hóa
- đủ
- hoàn toàn
- lôi
- lỗi
- gián điệp
- Ngay cả
- sự kiện
- BAO GIỜ
- bằng chứng
- thi hành
- thực hiện
- ngoài
- trích xuất
- giả mạo
- Tính năng
- Hình
- Tập tin
- Các tập tin
- Tên
- lần đầu tiên
- phù hợp với
- tập trung
- Khung
- Miễn phí
- từ
- đầy đủ
- chức năng
- chức năng
- chức năng
- tương lai
- Thu được
- Góc ảnh
- tạo ra
- được
- Google play
- Cửa hàng Google Play
- cấp
- tài trợ
- Nhóm
- Các nhóm
- giúp
- tại đây
- Ẩn giấu
- Cao
- Trang Chủ
- tổ chức
- Độ đáng tin của
- Tuy nhiên
- HTML
- HTTPS
- ia
- xác định
- xác định
- thực hiện
- in
- bao gồm
- bao gồm
- bao gồm
- Bao gồm
- Incoming
- thông tin
- ban đầu
- cài đặt, dựng lên
- thay vì
- ý định
- nội bộ
- Internet
- kết nối Internet
- IP
- Địa chỉ IP
- IT
- chính nó
- Tháng Bảy
- Key
- phím
- Biết
- lớp
- Có khả năng
- giới hạn
- Dòng
- LINK
- liên kết
- Danh sách
- Chức năng
- địa phương
- địa điểm thư viện nào
- còn
- thực hiện
- LÀM CHO
- phần mềm độc hại
- nhiều
- max-width
- có nghĩa
- Gặp gỡ
- tin nhắn
- tin nhắn
- tin nhắn
- sứ giả
- Might
- di động
- ứng dụng di động
- Chế độ
- sửa đổi
- mô-đun
- Mô-đun
- Modules
- Màn Hình
- màn hình
- chi tiết
- hầu hết
- MS
- tên
- Được đặt theo tên
- tên
- Naver
- cần thiết
- mạng
- Mới
- tin tức
- thông báo
- thông báo
- Tháng mười một
- Tháng Mười Một 2021
- con số
- thu được
- có được
- thu được
- cung cấp
- chính thức
- ONE
- mã nguồn mở
- mã nguồn mở
- vận hành
- hoạt động
- khai thác
- nguyên
- Nền tảng khác
- nếu không thì
- tổng quan
- riêng
- gói
- một phần
- người
- có lẽ
- quyền
- điện thoại
- gọi điện thoại
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- Cửa hàng play
- điểm
- chân dung
- có thể
- tiềm năng
- ưu đãi
- sự hiện diện
- trình bày
- trình bày
- trước
- trước đây
- Sản phẩm
- đúng
- bảo vệ
- giao thức
- cho
- cung cấp
- cung cấp
- công khai
- Xuất bản
- mục đích
- HIẾM HOI
- Đọc
- nhận
- nhận
- ghi
- ghi lại
- ghi âm
- hồ sơ
- đăng ký
- đăng ký
- phát hành
- loại bỏ
- yêu cầu
- yêu cầu
- cần phải
- nghiên cứu
- nhà nghiên cứu
- chịu trách nhiệm
- REST của
- kết quả
- Kết quả
- Tiết lộ
- nguồn gốc
- quy tắc
- an toàn
- tương tự
- Samsung
- Màn
- Thứ hai
- Phần
- an ninh
- dường như
- gửi
- nối tiếp
- dịch vụ
- DỊCH VỤ
- chia sẻ
- nên
- đăng ký
- Ký kết
- SIM
- tương tự
- tương
- Đơn giản
- kể từ khi
- website
- Skype
- SMS
- Snapchat
- So
- một số
- đặc biệt
- gián điệp
- Tiêu chuẩn
- Bắt đầu
- khởi động
- Vẫn còn
- là gắn
- hàng
- lưu trữ
- cửa hàng
- dòng
- trực tuyến
- mạnh mẽ
- Thành công
- như vậy
- phải
- hệ thống
- bàn
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Telegram
- Tencent
- Kiểm tra
- Sản phẩm
- cung cấp their dịch
- điều
- mối đe dọa
- diễn viên đe dọa
- số ba
- Thông qua
- thời gian
- máy xay
- đến
- công cụ
- kích hoạt
- được kích hoạt
- kích hoạt
- độc đáo
- Cập nhật
- tải lên
- Sử dụng
- sử dụng
- người sử dang
- Người sử dụng
- biến thể
- khác nhau
- phiên bản
- Viber
- nạn nhân
- nạn nhân
- Video
- video chat
- web
- Dựa trên web
- Website
- trang web
- Điều gì
- cái nào
- rộng
- sẽ
- Từ
- Công việc
- làm việc
- đang làm việc
- XML
- Bạn
- zephyrnet