Заминированный самолётик берёт на себя полный контроль над устройством.
Исследователи ESET заявили, что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.
Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.
В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:
Запрашиваемые разрешения вредоносного приложения
Зараженная версия Telegram была доступна для загрузки 25 февраля 2022 года. В этот же день был зарегистрирован вредоносный домен. На данный момент поддельный веб-сайт Shagle не активен, но есть признаки того, что эта активность является узконаправленной из-за отсутствия данных телеметрии.
Легитимный сайт Shagle (слева) и его фишинговая копия (справа)
Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.
По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.
Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии.
Это был первый известный случай использования группировкой Android-вредоносов.
Исследователи ESET заявили, что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.
Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.
В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:
- записывать телефонные звонки;
- отслеживать местоположение устройства;
- просматривать SMS-сообщения, журнал вызовов, контакты и файлы;
- собирать входящие сообщения из соцсетей и почтовых клиентов (для этого приложение запрашивает разрешение для доступа к службам специальных возможностей (Accessibility Services);
- загружать дополнительные компоненты с удаленного сервера управления и контроля (C&C).
Запрашиваемые разрешения вредоносного приложения
Зараженная версия Telegram была доступна для загрузки 25 февраля 2022 года. В этот же день был зарегистрирован вредоносный домен. На данный момент поддельный веб-сайт Shagle не активен, но есть признаки того, что эта активность является узконаправленной из-за отсутствия данных телеметрии.
Легитимный сайт Shagle (слева) и его фишинговая копия (справа)
Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.
По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.
Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии.
Это был первый известный случай использования группировкой Android-вредоносов.
