I ricercatori di sicurezza ESET hanno scoperto che il gruppo APT StrongPity ha lanciato una campagna di spionaggio contro gli utenti Android sfruttando tecniche di social engineering per indurli a scaricare un’app Telegram funzionante, ma contenente malware, spacciandola come app ufficiale del sito Shagle (una piattaforma di video chat casuali).
“L’attore a cui è stata attribuita questa campagna, StrongPity APT”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è noto per aver condotto in passato campagne sofisticate che utilizzavano zero-day exploit e trucchi di ingegneria sociale estremamente efficaci”.
Ecco come si propaga l’infezione e come proteggersi dalla backdoor.
Indice degli argomenti
Falsa app Telegram usata come trojan
Il gruppo APT StrongPity ha dunque realizzato una campagna di spionaggio, in cui induce gli utenti Android a scaricare un’app fasulla e malevola della piattaforma di video chat casuali Shagle. Infatti il sito è accessibile unicamente via browser e non è disponibile via app.
“Anche in quest’ultima campagna il gruppo ha sfruttato un falso sito di una app per video chat service chiamata Shagle, per distribuire una versione infetta di Telegram”, continua Paganini. Infatti, la finta applicazione veicola un malware che serve a distribuire una versione dell’app Telegram, funzionante ma affetta da trojan.
“Due le note di rilievo”, sottolinea l’esperto di cyber security: “il sito Shagle non dispone di una versione mobile e gli attaccanti hanno sfruttato l’interesse in una nuova app mobile del servizio per ingannare le vittime e indurle al download dell’app contenente la backdoor”.
ESET ha identificato e documentato ufficialmente per la prima volta la backdoor che sfrutta undici moduli per effettuare lo spionaggio ai danni di utenti Android.
Attivando i moduli dinamicamente, la backdoor consente di registrare telefonate, raccogliere messaggi SMS, elenchi di registri delle chiamate e liste di contatti, e molto altro ancora.
Dunque, è sufficiente che la vittima fornisca l’accesso alle notifiche e ai servizi di accessibilità all’app malevola StrongPity, per concedere accesso anche alle notifiche in arrivo da 17 app tra cui Viber, Skype, Gmail, Messenger e Tinder. Permette così l’esfiltrazione delle comunicazioni via chat da altre app.
La minaccia del social engineering
L’app di Telegram ha una versione modificata per sfruttare l’identico ID dell’originale. I nomi dei package sono ID unici per qualsiasi app Android e sono unici su qualsiasi dispositivo.
“La versione malevola scaricabile dal sito utilizza un package con lo stesso nome dell’app legittima Telegram. Questo dettaglio è importante perché implica l’impossibilità di installare l’app su un telefono su cui una versione legittima di Telegram è installata. È presumibile che StrongPity abbia preso di mira Paesi in cui la popolare app di messaging non sia molto usata”, avverte Paganini.
Se sul dispositivo è già installata la versione ufficiale, lo smartphone non è in grado di installare l’app di Telegram disinstallata. Dunque, potrebbe intervenire una tecnica di social engineering per indurre “le potenziali vittime” a “disinstallare Telegram dai dispositivi se è installato”. Oppure “la campagna si concentra su Paesi in cui l’uso di Telegram è ancora poco diffuso”, aggiunge Štefanko.
L’app di StrongPity avrebbe dovuto funzionare proprio come la versione ufficiale di Telegram, utilizzando API standard ben documentate sul sito web ufficiale, ma oggi non risulta più attiva. Rispetto al primo malware StrongPity scoperto per i dispositivi mobili, questa backdoor ha caratteristiche di spionaggio estese, poiché è in grado di spiare le notifiche in arrivo e di esfiltrare le comunicazioni via chat, se la vittima attiva i servizi di accessibilità.
Campagna circoscritta
“Non solo, gli attaccanti hanno ad oggi sviluppato solo una versione Android della backdoor segno che la platea obiettivo e presumibilmente quella degli utilizzatori del sistema Google”, mette in evidenza Paganini.
“Ritengo sia plausibile che il gruppo stia conducendo qualche test in preparazione di una futura campagna di spionaggio, utilizzando una nuova versione della sua backdoor in grado di compromettere completamente i dispositivi delle vittime”, conclude Paganini: “Ritengo che le vittime di una imminente campagna possano essere localizzati in Medio Oriente e Nord Africa per i motivi esposti”.
La campagna sarebbe circoscritta, dal momento che per la telemetria di ESET non ci sarebbero ancora vittime.
La firma di APT StrongPity
ESET ha scoperto che la nuova campagna condivide con quella precedente: il codice malevolo, le sue opzioni, i nomi delle categorie e il certificato usato per firmare il file APK.
Per questo i ricercatori di sicurezza attribuiscono l’operazione al gruppo StrongPity. Dall’analisi del codice emerge che la backdoor, modulare, scarica i moduli binari aggiuntivi dal server C&C. Il numero e la tipologia di moduli sono modificabili in ogni momento, in modo da adeguarsi alle esigenze della campagna, se gestita dal gruppo StrongPity.
“Durante la nostra indagine, la versione analizzata del malware disponibile sul sito web dell’emulatore non era più attiva e non era più possibile installare e attivare con successo la funzionalità di backdoor. Questo perché StrongPity non ha ottenuto l’ID API per l’app Telegram malevola. Ma la situazione potrebbe cambiare in qualsiasi momento se l’autore della minaccia decidesse di farne un aggiornamento”, commenta Lukáš Štefanko, il ricercatore ESET che ha analizzato l’app.
Come proteggersi
Per difendersi, bisogna essere consapevoli dei rischi legati al social engineering, per evitare di subire spinte a disinstallare Telegram dai dispositivi se è installato o a scaricare finte applicazioni come l’app malevola Shagle. Formazione e awareness sono la base della difesa dagli attacchi di ingegneria sociale.
Inoltre, occorre evitare di effettuare download di app fuori dai marketplace ufficiali.
Soprattutto, bisogna sempre verificare se un’app è presente sull’app store ufficiale: se non c’è, non è disponibile perché non esiste. La finta app è dunque malevola ed è un vettore d’infezione.
