Posté le janvier 10, 2023 à 6:15
LES HACKERS DE STRONGPITY ONT UTILISÉ UN FAUX SITE WEB SHAGLE ET UNE FAUSSE APPLICATION TELEGRAM POUR CIBLER LES UTILISATEURS D’ANDROID
StrongPity, un groupe APT (Advanced persistent threat) connu, a lancé une campagne malveillante visant les utilisateurs d’Android. Le groupe de hackers utilise une version trojanisée de Telegram à l’aide d’un faux site web qui s’est fait passer pour Shagle, une plateforme de service de chat vidéo.
Le groupe APT StrongPity cible les utilisateurs d’Android
Selon Lukás Stefanko, chercheur en logiciels malveillants chez ESET, les hackers ont utilisé un faux site Web imitant le service de chat vidéo Shagle pour distribuer l’application de porte dérobée mobile StrongPity.
Dans un rapport technique décrivant les opérations de ce groupe d’acteurs de la menace, Stefanko a déclaré que l’application utilisée pour distribuer ce logiciel malveillant était une copie modifiée de l’application de messagerie Telegram qui avait été reconditionnée à l’aide du code de porte dérobée créé par le groupe APT StrongPity.
Le groupe de hackers StrongPity porte également d’autres noms, tels que APT-C-41 et Promethium. Le groupe mène des campagnes de cyber-espionnage, ses premières activités malveillantes remontant à environ 2021.
La majorité des premières opérations menées par le groupe de hackers étaient axées sur la Turquie et la Syrie. Cependant, StrongPity a diversifié ses opérations au fil des ans pour cibler l’Afrique, l’Asie, l’Europe et l’Amérique du Nord. Les intrusions dans le secteur ont exploité les attaques de point d’eau et les messages de phishing lancés pour cibler la killchain.
StrongPity est notamment connu pour cibler les victimes à l’aide de faux sites Web qui prévoient de fournir divers outils logiciels. Le groupe incite ensuite ces victimes à télécharger de fausses versions d’applications authentiques.
En décembre 2021, un rapport de Minerva Labs a révélé une séquence de campagne d’attaque en trois étapes qui provenait de l’exécution d’un fichier d’installation Notepad ++. Le fichier était utilisé pour lancer une porte dérobée dans les appareils infectés. En 2021, le groupe d’acteurs de la menace a également été détecté en train de lancer un logiciel malveillant Android en obtenant un accès non autorisé au portail du gouvernement électronique de la Syrie. Il a ensuite remplacé le fichier APK officiel de l’appareil Android par un fichier malveillant.
Le dernier rapport du chercheur d’ESET montre que le groupe de hackers utilise toujours un mode opératoire similaire. L’opération a été créée pour distribuer une version supérieure de la porte dérobée Android. La porte dérobée peut effectuer un large éventail de fonctions, telles que l’enregistrement des appels téléphoniques, le suivi des appareils, et la collecte d’un large éventail d’informations sur l’utilisateur, y compris les fichiers, les listes de contacts, les messages SMS et les journaux d’appels.
Le logiciel malveillant a la possibilité de recueillir des informations sur les utilisateurs
Le logiciel malveillant peut également obtenir l’autorisation d’accéder aux services, ce qui lui permet d’exploiter les notifications et les messages entrants d’autres applications telles qu’Instagram, Gmail, Messenger, Skype, LINE, Snapchat, Telegram, Tinder, WeChat et Viber.
Selon le rapport d’ESET, l’implant était modulaire et pouvait être utilisé pour télécharger des fonctionnalités supplémentaires via un serveur de contrôle et de commande à distance. L’implant pourrait faire cela pour soutenir les objectifs changeants de la campagne de piratage lancée par StrongPity.
Les hackers s’assurent également que la porte dérobée fonctionne de manière furtive. Ils utilisent une porte dérobée cachée dans la version légitime de l’application Telegram. Cette version était disponible au téléchargement au début de l’année dernière. Cependant, la fausse version du site Web de Shagle n’est plus opérationnelle. Cependant, des signes montrent que l’activité des hackers était « très étroitement ciblée ».
Rien n’indique que la fausse application ait été répertoriée sur la plateforme Google Play Store. Il n’a pas été déterminé comment les victimes potentielles de cette campagne malveillante ont été incitées à utiliser le faux site Web et si des techniques telles que les annonces frauduleuses, l’ingénierie sociale et l’altération du moteur de recherche ont été utilisées.
Selon Stefanko, le domaine malveillant du faux site Web a été enregistré le jour même où l’application malveillante a été mise à disposition pour le téléchargement. Par conséquent, le faux site Web et l’application Shagle auraient pu être disponibles au téléchargement depuis le jour de leur enregistrement.
Les hackers ont en outre fait des pieds et des mains pour éviter toute suspicion. L’une des caractéristiques intéressantes de cette campagne malveillante est que la version malveillante de l’application de messagerie Telegram utilise un paquet similaire à l’application Telegram authentique. Cela signifie que la variante de la porte dérobée ne peut pas être téléchargée sur un appareil qui a déjà installé la véritable application Telegram.
M. Stefanko a noté que ce mode opératoire indique que l’acteur de la menace pourrait avoir une communication initiale avec les victimes potentielles, où elles sont encouragées à désinstaller Telegram de leurs appareils afin que l’application malveillante puisse être installée. Les hackers pourraient aussi cibler des pays où les utilisateurs de Telegram sont peu nombreux.
