- „StrongPity“ įsilaužėliai taikosi į naudotojus per kenkėjiškas aplikacijas mobiliems telefonams
- Trojanas, skirtas „Android“ sistemos įrenginiams
- Pagrindinis tikslas – platinti programėlę dėl šnipinėjimo
„StrongPity“ įsilaužėliai taikosi į naudotojus per kenkėjiškas aplikacijas mobiliems telefonams
APT įsilaužėlių grupė „StrongPity“ platina netikrą pokalbių programėlę pavadinimu „Shagle“, kuri yra Trojos arkliu paversta „Telegram“ programėlės versija su papildomomis funkcijomis, kurios programą paverčia „užpakalinėmis durimis“ nusikaltėliams[1].
„Shagle“ yra teisėta atsitiktinių vaizdo pokalbių platforma, leidžianti nepažįstamiems žmonėms kalbėtis šifruotu ryšio kanalu. Tačiau ši platforma yra visiškai internetinė, nesiūlanti mobiliosios programėlės. Nustatyta, kad „StrongPity“ kampanija nuo 2021 m. naudoja netikrą svetainę, kuri apsimeta tikrąja „Shagle“ svetaine, kad apgaule priverstų aukas atsisiųsti kenkėjišką programėlę.
Įdiegus šią programėlę telefone, įsilaužėliai gali vykdyti tikslinių aukų šnipinėjimą, įskaitant telefono skambučių stebėjimą, SMS žinučių rinkimą ir kontaktų sąrašų perėmimą. „StrongPity“ dar žinoma kaip APT-C-41, buvo anksčiau priskiriama kampanijai, kurios metu buvo platinamos trojos arklio virusų diegimo programos ir kenkėjiškos WinRAR versijos, siekiant užkrėsti taikinius kenkėjiškomis programomis.
Naujausią „StrongPity“ veiklą aptiko ESET tyrėjai, kurie kampaniją priskyrė šnipinėjimo APT grupei, remdamiesi kodo panašumu su ankstesniais tokio šnipinėjimo ir virusų platinimo atvejais žinomais tyrėjams[2].
Trojanas, skirtas „Android“ sistemos įrenginiams
Žinoma, kad ši kenkėjiška „Android“ programėlė pasirašyta tuo pačiu sertifikatu, kurį APT grupė naudojo pasirašydama programėlę, imituojančią Sirijos vyriausybės mobiliąją programėlę 2021 m. kampanijoje. Taip tyrėjai gali susieti grupuotes su tam tikromis kenkėjų kampanijomis praeityje paveikusiomis sistemas.
Kenkėjiška „StrongPity“ kampanijoje platinama mobilioji programėlė yra APK failas pavadinimu video.apk- standartinė „Telegram“ 7.5.0 versijos programėlė, modifikuota taip, kad apsimestų „Shagle“ mobiliąja programėle.
Ekspertai dar negalėjo nustatyti, kaip aukos patenka į suklastotą „Shagle“ svetainę, tačiau tikėtina, kad tai vyksta per spear phishing tipo elektroninius laiškus, SMS phishing motodu arba per momentines žinutes interneto platformose. Kenkėjiška APK programa pateikiama tiesiogiai iš netikros svetainės ir niekada nebuvo prieinama oficialiose aplikacijų parduotuvėse kaip „Google Play“.
ESET teigia, kad klonuota svetainė pirmą kartą internete pasirodė 2021 m. lapkritį, todėl APK greičiausiai buvo aktyviai platinamas nuo to laiko. Tačiau pirmasis patvirtintas aptikimas laisvėje buvo tik 2022 m. liepą.
Vienas iš programėlės naudojimo kaip įsilaužėlių grupės suklastotos programėlės pagrindu trūkumų yra tas, kad jei auka savo telefone jau turi įdiegtą tikrąją „Telegram“ programėlę, apgaulinga versija nebus įdiegta. Tad aptikus orginalią aplikaciją negalima vykdyti šios kenkėjiškos kompanijos toliau.
Šiuo metu užfiksuotuose pavyzdžiuose naudojamas API ID buvo apribotas dėl pernelyg didelio naudojimo, todėl Trojos arklio programa nebepriims naujų naudotojų registracijų; vadinasi, „užpakalinės durys“ neveiks. Pasak ekspertų, tai rodo, kad tikslinės aukos jau buvo pasiektos ir, kad kenkėjų grupei aukų skaičius neturi tiek riekšmės.
Pagrindinis tikslas – platinti programėlę dėl šnipinėjimo
Įdiegus kenkėjišką programą, ji prašo prieigos prie „Accessibility Service“, kuri yra būdinga androidiniams telefonams. Tada iš užpuoliko komandų ir kontrolės serverio parsisiunčia AES šifruotą failą. Šį failą sudaro 11 dvejetainių modulių, kurie išgaunami į įrenginį ir naudojami „užpakalinėse duryse“ – backdoor įvairioms kenkėjiškoms funkcijoms atlikti.
Kiekvienas modulis atlieka šnipinėjimo funkciją ir yra įjungiamas pagal poreikį. Skirtingi moduliai gali daryti tai, kas jiems paskirta ir ko nusikaltėliai reikalauja. Pavyzdžiui, vieni įrašinėja telefono skambučius, renka įeinančių pranešimų tekstus iš 17 programų, renka įrenginyje esančių failų sąrašą, kiti piktnaudžiaudami prieinamumo paslaugomis šnipinėja žinučių siuntimo programėles, išgauna kontakto vardą, pokalbio žinutę ir datą.
Tokie kenkėjai taip pat renka prietaise saugomus SMS pranešimus, nustato įrenginio buvimo vietą, renka įrenginio ir sistemos informaciją, renka įdiegtų programų sąrašą, renka kontaktų sąrašą, renka įrenginio paskyrų sąrašą, renka skambučių žurnalų sąrašą[3].
Surinkti duomenys vėliau saugomi programos kataloge, šifruojami AES ir galiausiai siunčiami atgal į užpuoliko komandų ir valdymo serverį. Piktnaudžiaudama prieinamumo paslauga, kenkėjiška programa gali skaityti pranešimų turinį iš „Twitter“, „Facebook“, „Messenger“, „Instagram“, kitų populiarių socialinių bendravimo ir dalijimosi programų.
Įrašyta įrenginiuose, kuriuose įprastas naudotojas turi administratoriaus teises, kenkėjiška programa automatiškai suteikia sau leidimą keisti saugumo nustatymus, rašyti į failų sistemą, perkrauti kompiuterį ir atlikti kitas pavojingas funkcijas.
Android naudotojai turėtų būti atsargūs su APK programomis, gautomis ne iš oficialios programėlių parduotėvs „Google Play“ ar oficialių platintojų puslapių. Taip pat diegdami naujas programas, turėtų atkreipti dėmesį į prašymus suteikti prieigas ir leidimus.
