StrongPity 黑客分发带有后门的应用程序以瞄准 Android 用户

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站，以木马化版本的 Telegram 应用程序瞄准 Android 用户。

“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序，”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本，使用 StrongPity 后门代码重新打包。”

StrongPity，也被称为 APT-C-41 和 Promethium，是一个从 2012 年开始活跃的网络间谍组织，其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。

此后，该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标，入侵利用水坑攻击和网络钓鱼来激活杀伤链。

StrongPity 的主要特征之一是它使用假冒网站，这些网站声称提供各种软件工具，只是为了诱骗受害者下载受感染的应用程序版本。

2021 年 12 月，Minerva Labs披露了一个三阶段攻击序列，该序列源于看似良性的 Notepad++ 安装文件，安装后将后门上传到受感染的主机上。

同年，专家观察到StrongPity 首次部署了一款 Android 恶意软件，它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。

ESET 的最新发现突出了一种类似的作案手法，该作案手法旨在分发更新版本的 Android 后门有效荷载，该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。

此外，授权恶意软件可访问权限使其能够从各种应用程序（如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信）中窃取信息。

此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说，虚假的 Shagle 网站目前不再活跃。

也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。

Štefanko 指出：“恶意域名是在同一天注册的，因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。”

攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同，这意味着后门变体无法安装在已经安装 Telegram 的设备上。

Štefanko 说：“这可能意味攻击者首先诱导受害者，并迫使他们从设备上卸载 Telegram（如果安装了 Telegram），或者该活动的重点是很少使用 Telegram 进行通信的国家。”