一个名为StrongPity的高级持续攻击(APT)组织通过一个伪装成名为Shagle的视频聊天服务的虚假网站对Telegram应用程序的一个版本进行木马攻击,目标是Android用户。“一个模仿Shagle服务的山寨网站被用来分发StrongPity的移动后门应用程序,”ESET恶意软件研究员Luká??tefanko在一份技术说明中说。“该应用程序是开源Telegram应用程序的修改版本,使用StrongPity后门代码重新打包。”StrongPity,也称为APT-C-41和Promethium,是一个自2012年以来活跃的网络间谍组织,其中大部分行动集中在叙利亚和土耳其。卡巴斯基于2016年10月首次公开报告该组织的存在。该组织的活动已扩大到包括非洲、亚洲、欧洲和北美的更多目标,入侵利用水坑攻击和网络钓鱼来激活杀伤链。StrongPity的主要特征之一是它使用假网站,这些网站声称提供各种软件工具,只是为了诱骗受害者下载受感染的应用程序版本。2021年12月,MinervaLabs披露了一个三阶段攻击序列,该序列源自看似良性的Notepad++安装文件,该文件在安装后向受感染主机上传后门。同年,专家观察到StrongPity首次部署了一种Android恶意软件,该恶意软件能够入侵叙利亚电子政府门户网站并用流氓文件替换官方AndroidAPK文件。ESET的最新发现突显了一种类似的作案手法,旨在分发更新版本的Android后门有效载荷,该后门有效载荷能够记录电话、跟踪设备位置并收集SMS消息、通话记录、联系人列表和文件。此外,授予恶意软件的访问权限使其能够从各种应用程序中窃取信息,例如Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber和微信。后门功能隐藏在合法版本的TelegramAndroid应用程序中,该应用程序将于2022年2月25日左右可供下载。也就是说,假冒的Shagle网站目前已不再活跃。也没有证据表明该应用程序已在官方GooglePlay商店上发布。目前还不清楚潜在受害者是如何被引诱到这个假网站的。?tefanko指出:“恶意域名是在同一天注册的,因此从那天起就可以下载山寨网站和假冒的Shagle应用程序。”攻击的另一个值得注意的方面是,Telegram的篡改版本与正版Telegram应用程序包名称相同,这意味着后门变体无法安装在已经安装Telegram的设备上。“这可能意味着攻击者首先引诱受害者并强迫他们从他们的设备上卸载Telegram(如果已安装),或者该活动的重点是Telegram很少用于通信的国家,”?tefanko说。来源:https://thehackernews.com/2023/01/strongpity-hackers-distribute.html
