fonctionnelle de l'appli Telegram mais contenant un cheval de Troie.
● C'est la première fois que les modules décrits et leurs fonctionnalités sont documentés publiquement.
● La porte dérobée de StrongPity est modulaire et possède diverses fonctionnalités d'espionnage : l'enregistrement d'appels téléphoniques, la collecte de SMS, de listes de journaux d'appels et de listes de contact, etc.
● Si la victime donne l'accès aux notifications du maliciel StrongPity et aux services d'accessibilité, le logiciel malveillant peut exfiltrer les communications des applis de messagerie telles que Viber, Skype, Gmail, Messenger et Tinder.
● Un site copiant Shagle, un service de chat vidéo pour adultes, est utilisé pour distribuer l'appli de porte dérobée de StrongPity.
● L'appli est une version modifiée de l'appli open-source Telegram, reconditionnée avec le code de la porte dérobée StrongPity.
● Grâce aux similarités avec le code de porte dérobée StrongPity précédent et l'appli signée avec un certificat d'une campagne StrongPity antérieure, ESET attribue cette menace au groupe StrongPity APT.
Le 10 janvier 2023 — Les chercheurs d'ESET ont identifié une campagne active du groupe StrongPity APT utilisant une version fonctionnelle mais trojanisée de l'appli Telegram, qui, bien queinexistante, a été reconditionnée comme "la vraie" appli Shagle. Cette porte dérobée StrongPity possède diverses fonctionnalités d'espionnage : ses 11 modules déclenchés de façon dynamique sont responsables de l'enregistrement d‘appels téléphoniques, de collecte de messages SMS, de listes des journaux d'appels, de listes de contact et encore bien plus. Ces modules sont documentés pour la toute première fois. Si la victime donne accès aux notifications et aux services d'accessibilité de l'appli malveillante StrongPity, celle-ci aura également accès aux notifications entrantes de 17 applis telles que Viber, Skype, Gmail, Messenger et Tinder. Elle pourra aussi exfiltrer les communications de chat d'autres applis. Cette campagne est probablement ciblée avec précision car la télémétrie ESET n'a pas encore identifié de victimes.
Le site Shagle authentique, basé sur le Web, ne propose pas d'appli mobile officielle pour accéder à ses services. Le faux site ne fournit qu'une appli Android à télécharger sans possibilité de diffusion en continu sur le Web. Cette appli Telegram infectée par un cheval de Troie n'a jamais été proposée sur Google Play Store.
Le code malveillant, sa fonctionnalité, les noms de classe et le certificat utilisé pour signer le fichier APK sont identiques à ceux de la campagne précédente. Ainsi ESET croit avec grande certitude que cette opération est l’œuvre du groupe StrongPity. L'analyse du code révèle que la porte dérobée est modulaire et que des modules binaires supplémentaires sont téléchargés à partir du serveur C&C. Cela signifie que le nombre et le type de modules, lorsqu'ils sont utilisés par le groupe StrongPity, peuvent à tout moment être modifiés pour répondre aux exigences des campagnes.
"Au cours de nos recherches, la version analysée du maliciel disponible sur le faux site n'était plus active et il n'était plus possible d'installer ni de déclencher avec succès sa fonctionnalité de porte dérobée. StrongPity n'a pas obtenu son propre ID d'API pour son appli Telegram trojanisée. Mais, à tout moment, cela peut changer si l'auteur de la menace décide de mettre à jour l'appli malveillante», explique Lukáš Štefanko, le chercheur d'ESET qui a analysé l'appli Telegram trojanisée.
La version reconditionnée de Telegram porte le même nom que l'appli Telegram légitime. Les noms de package sont censés être des identifiants uniques pour chaque appli Android et doivent être uniques sur chaque appareil. Si l'appli Telegram officielle est déjà installée sur l'appareil d'une victime potentielle, la version dérobée ne peut y être installée. "Cela signifie que soit l'acteur de la menace communique d'abord avec les victimes potentielles et les pousse à désinstaller Telegram de leurs appareils s'il y est déjà, soit la campagne se concentre sur les pays où l'utilisation de Telegram pour la communication est rare ", ajoute Štefanko.
L'appli de StrongPity aurait dû fonctionner comme version officielle pour la communication, en utilisant des API standards bien documentés sur le site de Telegram, mais ce n'est plus le cas. Comparée au premier logiciel malveillant StrongPity découvert, la porte dérobée possède ici des fonctionnalités étendues, pouvant espionner les notifications entrantes et exfiltrer les communications par chat, si la victime donne accès aux notifications de l'appli et active les services d'accessibilité.
Pour plus d'informations techniques sur l’appli StrongPity, consultez le blog "StrongPity espionage campaign targeting Android users” sur WeLiveSecurity. Suivez également ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
the legitimate website on the left and the cat on the right