Nhóm APT được gọi là StrongPity đã nhắm mục tiêu người dùng Android bằng phần mềm trojan giả mạo ứng dụng Telegram thông qua một trang web mạo danh dịch vụ trò chuyện video Shagle.
Trong một báo cáo, nhà nghiên cứu Lukáš Štefanko của ESET cho biết đã phát hiện “một trang web giả mạo, bắt chước dịch vụ Shagle, được dùng để phát tán ứng dụng backdoor mobile của StrongPity”. "Ứng dụng này là phiên bản sửa đổi của ứng dụng mã nguồn mở Telegram".
StrongPity, còn được biết đến với cái tên APT-C-41 và Promethium, là một nhóm gián điệp mạng hoạt động ít nhất từ năm 2012, với phần lớn các hoạt động tập trung vào Syria và Thổ Nhĩ Kỳ, được phát hiện và cảnh báo lần đầu tiên bởi Kaspersky vào tháng 10 năm 2016.
Kể từ đó, các chiến dịch của chúng đã mở rộng sang nhiều mục tiêu hơn trên khắp Châu Phi, Châu Á, Châu Âu và Bắc Mỹ, với các cuộc xâm nhập sử dụng các kỹ thuật tấn công ‘watering hole’ và tin nhắn lừa đảo (phishing).
Một trong những điểm nổi bật của StrongPity là việc sử dụng các trang web giả mạo để lừa nạn nhân tải xuống các phiên bản độc hại của ứng dụng hợp pháp.
Vào tháng 12 năm 2021, Minerva Labs đã tiết lộ một chuỗi tấn công gồm ba giai đoạn bắt nguồn từ việc thực thi tệp cài đặt Notepad++ có vẻ vô hại dẫn đến việc triển khai một backdoor StrongPity vào các máy bị nhiễm.
Cùng năm đó, StrongPity được phát hiện lần đầu tiên triển khai một phần mềm độc hại Android bằng cách xâm nhập vào trang thông tin (portal) của chính phủ Syria và thay thế tệp APK Android chính thức bằng một tệp giả mạo.
Các phát hiện mới nhất từ ESET làm nổi bật lên phương thức được dùng để phát tán phiên bản cập nhật của backdoor StrongPity, được thiết kế để ghi âm các cuộc gọi điện thoại, theo dõi vị trí thiết bị và thu thập tin nhắn SMS, nhật ký cuộc gọi, danh sách liên hệ và tệp.
Ngoài ra, việc cấp quyền cho các dịch vụ trợ năng của phần mềm độc hại cho phép nó truy cập các thông báo và tin nhắn đến từ nhiều ứng dụng khác nhau như Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber và WeChat.
Công ty bảo mật Slovakia đã mô tả mã độc này như một mô-đun có khả năng tải xuống các thành phần độc hại bổ sung từ máy chủ điều khiển tấn công từ xa.
Backdoor được ẩn giấu trong một phiên bản hợp pháp của ứng dụng Android của Telegram, đã có sẵn để tải xuống vào khoảng ngày 25/02/2022. Trang web Shagle giả mạo hiện không còn hoạt động nữa.
Không có bằng chứng nào cho thấy ứng dụng giả mạo này ("video.apk") đã tồn tại trên Cửa hàng Google Play chính thức. Hiện vẫn chưa rõ các nạn nhân tiềm năng bị dụ vào trang web giả mạo như thế nào và liệu nó có sử dụng các kỹ thuật như social engineering, đầu độc công cụ tìm kiếm hay các quảng cáo lừa đảo hay không.
Một điều đáng chú ý khác của cuộc tấn công là ứng dụng Telegram giả mạo sử dụng cùng tên package với ứng dụng chính thức, do đó biến thể backdoor không thể cài đặt trên thiết bị đã cài đặt Telegram.
Tin tặc vẫn luôn tìm cách phát tán mã độc thông qua các ứng dụng giả mạo phần mềm hợp pháp. Để tránh trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên cẩn thận trước khi cài đặt bất kỳ ứng dụng nào cũng như chỉ cài đặt ứng dụng từ các nguồn tin cậy.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các bản vá Patch Tuesday đầu tiên do Microsoft phát hành trong năm 2023 đã giải quyết tổng cộng 98 lỗ hổng bảo mật, trong đó có một lỗ hổng đang bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu AquaSec đã nhận thấy khả năng tải các tiện ích mở rộng Visual Studio Code độc hại lên VSCode Marketplace và phát hiện ra dấu hiệu của các tác nhân đe dọa đã khai thác vấn đề này.
Tín nhiệm mạng | Synology đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến Máy chủ VPN Plus có thể bị khai thác để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Một vụ rò rỉ dữ liệu được mô tả là có chứa địa chỉ email của hơn 200 triệu người dùng Twitter đã được công bố trên một diễn đàn tội phạm mạng.
Tín nhiệm mạng | Qualcomm phát hành các bản vá bảo mật để giải quyết nhiều lỗ hổng trong chipset của họ. Các lỗ hổng cũng ảnh hưởng đến máy tính Lenovo ThinkPad X13s, khiến nhà sản xuất Lenovo phải phát hành các bản cập nhật BIOS để vá các lỗ hổng.