🔥 Công ty Cổ phần MISA đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Thiết kế - Xây dựng và Đào tạo Kiến Thiết Việt đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Trang Trí Nội Thất Và Xây Dựng Gia Hân đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty Cổ Phần Truyền Thông Appnet đã đăng ký tín nhiệm. 🔥                    🔥 Tuấn Nguyễn Mobile đã đăng ký tín nhiệm. 🔥                   

StrongPity nhắm mục tiêu người dùng Android để phát tán backdoor thông qua ứng dụng Telegram giả mạo

12/01/2023

Nhóm APT được gọi là StrongPity đã nhắm mục tiêu người dùng Android bằng phần mềm trojan giả mạo ứng dụng Telegram thông qua một trang web mạo danh dịch vụ trò chuyện video Shagle.

Trong một báo cáo, nhà nghiên cứu Lukáš Štefanko của ESET cho biết đã phát hiện “một trang web giả mạo, bắt chước dịch vụ Shagle, được dùng để phát tán ứng dụng backdoor mobile của StrongPity”. "Ứng dụng này là phiên bản sửa đổi của ứng dụng mã nguồn mở Telegram".

StrongPity, còn được biết đến với cái tên APT-C-41 và Promethium, là một nhóm gián điệp mạng hoạt động ít nhất từ năm 2012, với phần lớn các hoạt động tập trung vào Syria và Thổ Nhĩ Kỳ, được phát hiện và cảnh báo lần đầu tiên bởi Kaspersky vào tháng 10 năm 2016.

Kể từ đó, các chiến dịch của chúng đã mở rộng sang nhiều mục tiêu hơn trên khắp Châu Phi, Châu Á, Châu Âu và Bắc Mỹ, với các cuộc xâm nhập sử dụng các kỹ thuật tấn công ‘watering hole’ và tin nhắn lừa đảo (phishing).

Một trong những điểm nổi bật của StrongPity là việc sử dụng các trang web giả mạo để lừa nạn nhân tải xuống các phiên bản độc hại của ứng dụng hợp pháp.

Vào tháng 12 năm 2021, Minerva Labs đã tiết lộ một chuỗi tấn công gồm ba giai đoạn bắt nguồn từ việc thực thi tệp cài đặt Notepad++ có vẻ vô hại dẫn đến việc triển khai một backdoor StrongPity vào các máy bị nhiễm.

Cùng năm đó, StrongPity được phát hiện lần đầu tiên triển khai một phần mềm độc hại Android bằng cách xâm nhập vào trang thông tin (portal) của chính phủ Syria và thay thế tệp APK Android chính thức bằng một tệp giả mạo.

Các phát hiện mới nhất từ ​​ESET làm nổi bật lên phương thức được dùng để phát tán phiên bản cập nhật của backdoor StrongPity, được thiết kế để ghi âm các cuộc gọi điện thoại, theo dõi vị trí thiết bị và thu thập tin nhắn SMS, nhật ký cuộc gọi, danh sách liên hệ và tệp.

Ngoài ra, việc cấp quyền cho các dịch vụ trợ năng của phần mềm độc hại cho phép nó truy cập các thông báo và tin nhắn đến từ nhiều ứng dụng khác nhau như Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber và WeChat.

Công ty bảo mật Slovakia đã mô tả mã độc này như một mô-đun có khả năng tải xuống các thành phần độc hại bổ sung từ máy chủ điều khiển tấn công từ xa.

Backdoor được ẩn giấu trong một phiên bản hợp pháp của ứng dụng Android của Telegram, đã có sẵn để tải xuống vào khoảng ngày 25/02/2022. Trang web Shagle giả mạo hiện không còn hoạt động nữa.

Không có bằng chứng nào cho thấy ứng dụng giả mạo này ("video.apk") đã tồn tại trên Cửa hàng Google Play chính thức. Hiện vẫn chưa rõ các nạn nhân tiềm năng bị dụ vào trang web giả mạo như thế nào và liệu nó có sử dụng các kỹ thuật như social engineering, đầu độc công cụ tìm kiếm hay các quảng cáo lừa đảo hay không.

Một điều đáng chú ý khác của cuộc tấn công là ứng dụng Telegram giả mạo sử dụng cùng tên package với ứng dụng chính thức, do đó biến thể backdoor không thể cài đặt trên thiết bị đã cài đặt Telegram.

Tin tặc vẫn luôn tìm cách phát tán mã độc thông qua các ứng dụng giả mạo phần mềm hợp pháp. Để tránh trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên cẩn thận trước khi cài đặt bất kỳ ứng dụng nào cũng như chỉ cài đặt ứng dụng từ các nguồn tin cậy.

Nguồn: thehackernews.com.

scrolltop