Identifican campaña de espionaje dirigida a usuarios de Android

El equipo de investigación de ESET, compañía de detección proactiva de amenazas, identificó la distribución de una versión maliciosa de Telegram para Android presentada como una app llamada Shagle, un servicio de video chat que no tiene una versión para móviles.

Se detalló que la campaña en curso se atribuye al grupo de APT StrongPity.

Activa desde noviembre de 2021, la campaña ha estado distribuyendo una aplicación maliciosa a través de un sitio web que se hace pasar por Shagle, un servicio de video chat que ofrece comunicaciones cifradas entre extraños.

A diferencia del sitio legítimo de Shagle cuyo servicio es basado en la web y que no ofrece una aplicación móvil oficial para acceder a sus servicios, el sitio falso solo proporciona una aplicación para Android para descargar y no es posible utilizar el servicio web.

Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 módulos activados dinámicamente permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho más.

Si la víctima habilita a la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.

“La aplicación maliciosa es, de hecho, una versión completamente funcional pero troyana de la aplicación legítima de Telegram. Sin embargo, se presenta como la aplicación de Shagle, la cual no existe. Nos referiremos a esta app como la falsa aplicación de Shagle, la aplicación troyanizada de Telegram o el backdoor de StrongPity. Los productos de ESET detectan esta amenaza como Android/StrongPity.A.”, comenta Camilo Gutiérrez Amaya de ESET Latinoamérica.

Es probable que la campaña apunte a un objetivo muy específico y limitado, ya que la telemetría de ESET aún no identifica a ninguna víctima. Durante la investigación, la versión analizada del malware disponible en el sitio web falso ya no estaba activa.

Por lo tanto, no fue posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la aplicación troyanizada de Telegram. Pero eso podría cambiar en cualquier momento si el atacante decide actualizar la aplicación maliciosa.

“La aplicación falsa de Shagle se alojó en el sitio web que se hacía pasar por el sitio oficial de Shagle, desde el cual las víctimas tenían que elegir descargar e instalar la aplicación. No hubo ningún subterfugio que sugiriera que la aplicación estaba disponible en Google Play y no sabemos cómo las víctimas potenciales fueron atraídas o descubrieron el falso sitio web”, concluye Gutiérrez Amaya.