La empresa de tecnología IRLANDESA ESET advirtió a miles de irlandeses sobre una aplicación que registra llamadas telefónicas, recopila mensajes de texto y mucho más.
Los investigadores de ESET han identificado una campaña activa de StrongPity que distribuye una versión completamente funcional pero modificada de la aplicación legítima de Telegram.
Esta aplicación de Telegram, que a pesar de no existir, ha sido reempaquetada como la aplicación “Shagle”.
Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 módulos ejecutados dinámicamente se encargan de grabar llamadas telefónicas, recopilar mensajes SMS, recopilar listas de registro de llamadas y listas de contactos, y mucho más.
Estos módulos se documentan públicamente por primera vez.
Si la víctima otorga a la aplicación maliciosa StrongPity acceso a notificaciones y servicios de accesibilidad, la aplicación también tendrá acceso a notificaciones entrantes de 17 aplicaciones, como Viber, Skype, Gmail, Messenger y Tinder, y podrá filtrar la comunicación de chat con otras aplicaciones.
Es probable que la campaña tenga un objetivo muy limitado ya que la telemetría de ESET aún no ha identificado a ninguna víctima.
A diferencia del sitio original de Shagle completamente basado en la web, que no ofrece una aplicación móvil oficial para acceder a sus servicios, el sitio de copia solo proporciona una aplicación de Android descargable, sin capacidad de transmisión por Internet.
Esta aplicación de Telegram troyana nunca estuvo disponible en Google Play Store.
El código malicioso, su funcionalidad, los nombres de las clases y el certificado utilizado para firmar el APK son los mismos que en la campaña anterior; por lo tanto, ESET cree firmemente que esta operación pertenece al grupo StrongPity.
El análisis del código mostró que la puerta trasera es modular y que se descargan módulos binarios adicionales del servidor C&C.
Esto significa que la cantidad y el tipo de módulos utilizados se pueden cambiar en cualquier momento para que coincidan con las solicitudes de campaña respaldadas por el grupo StrongPity.
El investigador de ESET, Lukas Stefanko, dijo: “Durante nuestra investigación, la versión analizada del malware disponible en el sitio de imitación ya no estaba activa y su función de puerta trasera no se pudo instalar y ejecutar con éxito.
“Esto se debe a que StrongPity no obtuvo su propia API para su aplicación Telegram, que estaba infectada con troyanos.
“Pero eso podría cambiar en cualquier momento si un ciberdelincuente decide actualizar una aplicación maliciosa”.
La versión reempaquetada de Telegram usa el mismo nombre de paquete que la aplicación legítima de Telegram.
Los nombres de los paquetes están destinados a ser identificadores únicos para cada aplicación de Android y deben ser únicos en cada dispositivo.
Esto significa que si la aplicación oficial de Telegram ya está instalada en el dispositivo de una posible víctima, esta versión de puerta trasera no se puede instalar.
El experto de ESET, el Sr. Stefanko, agregó: “Esto podría significar una de dos cosas: o bien el ciberdelincuente se comunica primero con las víctimas potenciales y las obliga a desinstalar Telegram de sus dispositivos si está instalado, o la campaña se enfoca en países donde el uso de Telegram es raro para la comunicación”.
La aplicación StrongPity debería funcionar igual que la versión oficial para la comunicación, utilizando las API estándar que están bien documentadas en el sitio web de Telegram, pero ya no funciona de esa manera.
En comparación con el primer malware de StrongPity detectado para dispositivos móviles, esta puerta trasera de StrongPity tiene capacidades de espionaje mejoradas, lo que le permite espiar las notificaciones entrantes y exfiltrar las comunicaciones de chat si la víctima otorga a la aplicación acceso a las notificaciones y activa los servicios de accesibilidad.
Para obtener más información técnica sobre la última aplicación de StrongPity, consulte la publicación de blog “Campaña de espionaje de StrongPity dirigida a usuarios de Android” en WeLiveSecurity.