Ciberseguridad 360 | Los piratas informáticos apuntan a los usuarios de Android con la aplicación falsa de chat de video Shagle

El grupo de hackers StrongPity APT est� distribuyendo una aplicaci�n de chat Shagle falsa que es una versi�n troyana de la aplicaci�n Telegram para Android con una puerta trasera a�adida.

Shagle es una plataforma leg�tima de chat de video aleatorio que permite a extra�os hablar a trav�s de un canal de comunicaci�n encriptado. Sin embargo, la plataforma est� completamente basada en la web y no ofrece una aplicaci�n m�vil.

Se descubri� que StrongPity usa un sitio web falso desde 2021 que se hace pasar por el sitio real de Shagle para enga�ar a las v�ctimas para que descarguen un Android malicioso.

Una vez instalada, esta aplicaci�n permite a los piratas inform�ticos espiar a las v�ctimas objetivo, lo que incluye monitorear llamadas telef�nicas, recopilar mensajes de texto SMS y obtener listas de contactos.

StrongPity, tambi�n conocido como Promethium o APT-C-41, se atribuy� anteriormente a una campa�a que distribu�a instaladores troyanos de Notepad ++ y versiones maliciosas de WinRAR y TrueCrypt para infectar objetivos con malware.

La actividad m�s reciente de StrongPity fue descubierta por investigadores de ESET, quienes atribuyeron la campa�a al grupo APT de espionaje bas�ndose en similitudes de c�digo con cargas �tiles anteriores.

Adem�s, la aplicaci�n de Android est� firmada con el mismo certificado que utiliz� APT para firmar una aplicaci�n que imitaba la aplicaci�n de Android del gobierno electr�nico sirio en una campa�a de 2021.

Troyanizando la aplicaci�n Android Telegram

La aplicaci�n maliciosa de Android distribuida por StrongPity es un archivo APK llamado "video.apk", la aplicaci�n est�ndar de Telegram v7.5.0 (febrero de 2022) modificada para hacerse pasar por una aplicaci�n m�vil de Shagle.

ESET no pudo determinar c�mo llegan las v�ctimas al sitio web falso de Shagle, pero es probable que sea a trav�s de correos electr�nicos de phishing selectivo, smishing (phishing por SMS) o mensajes instant�neos en plataformas en l�nea.

El APK malicioso se proporciona directamente desde el sitio falso de Shagle y nunca estuvo disponible en Google Play.

ESET dice que el sitio clonado apareci� por primera vez en l�nea en noviembre de 2021, por lo que es probable que el APK haya estado en distribuci�n activa desde entonces. Sin embargo, la primera detecci�n confirmada en la naturaleza se produjo en julio de 2022.

Una desventaja de usar Telegram como base para la aplicaci�n falsa del grupo de piratas inform�ticos es que si la v�ctima ya tiene instalada la aplicaci�n Telegram real en sus tel�fonos, la versi�n con puerta trasera no se instalar�.

Actualmente, la ID de API utilizada en las muestras capturadas se ha limitado debido al uso excesivo, por lo que la aplicaci�n troyana ya no aceptar� nuevos registros de usuarios; por lo tanto, la puerta trasera no funcionar�.

ESET cree que esto indica que StrongPity ha implementado con �xito el malware en las v�ctimas objetivo.

Puerta trasera dise�ada para espiar a las v�ctimas

Tras la instalaci�n, el malware solicita acceso al Servicio de accesibilidad y luego obtiene un archivo cifrado con AES del servidor de comando y control del atacante.

Este archivo consta de 11 m�dulos binarios extra�dos en el dispositivo y utilizados por la puerta trasera para realizar varias funciones maliciosas.

Cada m�dulo realiza una funci�n de espionaje y se activa seg�n sea necesario. La lista completa de los m�dulos de spyware maliciosos se incluye a continuaci�n:

libarm.jar ? registra llamadas telef�nicas
libmpeg4.jar: recopila el texto de los mensajes de notificaci�n entrantes de 17 aplicaciones
local.jar: recopila la lista de archivos (�rbol de archivos) en el dispositivo
phone.jar: hace un mal uso de los servicios de accesibilidad para espiar las aplicaciones de mensajer�a extrayendo el nombre del contacto, el mensaje de chat y la fecha
resources.jar: recopila mensajes SMS almacenados en el dispositivo
services.jar: obtiene la ubicaci�n del dispositivo
systemui.jar: recopila informaci�n del dispositivo y del sistema
timer.jar: recopila una lista de aplicaciones instaladas
toolkit.jar ? recopila la lista de contactos
watchkit.jar: recopila una lista de cuentas de dispositivos
wearkit.jar: recopila una lista de registros de llamadas

Los datos recopilados se almacenan en el directorio de la aplicaci�n, se cifran con AES y finalmente se env�an de regreso al servidor de comando y control del atacante.

Al abusar del Servicio de Accesibilidad, el malware puede leer el contenido de las notificaciones de Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail y m�s.

En dispositivos rooteados donde el usuario normal tiene privilegios de administrador, el malware se otorga autom�ticamente permiso para realizar cambios en la configuraci�n de seguridad, escribir en el sistema de archivos, realizar reinicios y realizar otras funciones peligrosas.

El grupo de pirater�a StrongPity ha estado activo desde 2012 y, por lo general, oculta puertas traseras en instaladores de software leg�timos. Seg�n el informe de ESET, el actor de amenazas contin�a empleando la misma t�ctica despu�s de una d�cada.

Los usuarios de Android deben tener cuidado con los APK que se obtienen fuera de Google Play y prestar atenci�n a las solicitudes de permiso al instalar nuevas aplicaciones.

Fuente: BC.