Campaña de espionaje del grupo StrongPity dirigida a usuarios de Android
El grupo StrongPity distribuye una versión maliciosa de Telegram para Android presentada como una app llamada Shagle, un servicio de video chat que no tiene una versión para móviles.
Investigadores de ESET identificaron una campaña en curso que hemos atribuido al grupo de APT StrongPity. Activa desde noviembre de 2021, la campaña ha estado distribuyendo una aplicación maliciosa a través de un sitio web que se hace pasar por Shagle, un servicio de video chat que ofrece comunicaciones cifradas entre extraños. A diferencia del sitio legítimo de Shagle cuyo servicio es basado en la web y que no ofrece una aplicación móvil oficial para acceder a sus servicios, el sitio falso solo proporciona una aplicación para Android para descargar y no es posible utilizar el servicio web.
En la versión en español de esta publicación hacemos una descripción general de la campaña. En la versión en inglés encontrarán el análisis técnico en detalle de esta campaña de StrongPity.
Puntos claves de este artículo:
La campaña analizada corresponde al grupo StrongPity, que por primera vez distribuye una aplicación Android troyanizada mediante un sitio web falso que imita al servicio Shagle. En realidad, se trata de una versión modificada de Telegram, reempaquetada con un backdoor modular utilizado por este grupo APT y firmada con un certificado previamente asociado a StrongPity.
El malware, detectado por ESET como Android/StrongPity.A, es una app funcional que incorpora múltiples módulos de espionaje, cifrados con AES y descargados desde un servidor de comando y control. Estos módulos permiten grabar llamadas, acceder a SMS, contactos, registros de llamadas y, si se habilitan los servicios de accesibilidad, interceptar notificaciones y comunicaciones de diversas aplicaciones populares.
Si bien la campaña parece estar dirigida a un objetivo muy específico, hasta el momento no se han identificado víctimas. La versión analizada ya no estaba activa, aunque los investigadores advierten que el ataque podría reactivarse en cualquier momento con una actualización de la aplicación maliciosa.
Descripción general
Esta campaña del grupo StrongPity se basa en un backdoor para Android que se despliega desde un dominio que contiene la palabra “dutch”. Este sitio web se hace pasar por el servicio legítimo llamado Shagle (shagle.com). En la Figura 1 se pueden ver las páginas de inicio de ambos sitios web. La aplicación maliciosa se proporciona directamente desde el sitio web que suplanta la identidad y nunca estuvo disponible en la tienda Google Play. Es una versión troyanizada de la aplicación legítima Telegram, presentada como si fuera la aplicación Shagle, aunque actualmente no existe una aplicación oficial de Shagle para Android.
Figura 1. Comparación del sitio web legítimo de la izquierda y el falso a la derecha
Como puede observar en la Figura 2, el código HTML del sitio falso incluye evidencia de que fue copiado del sitio legítimo shagle.com el 1 de noviembre de 2021, utilizando la herramienta automatizada HTTrack. El dominio malicioso se registró el mismo día, por lo que el sitio falso y la app falsa de Shagle pueden haber estado disponibles para su descarga desde esa fecha.
Figura 2. Registros generados por la herramienta HTTrack en el código HTML del sitio web falso
Victimología
El 18 de julio de 2022, una de nuestras reglas YARA en VirusTotal se activó cuando se cargó una aplicación maliciosa y un enlace a un sitio web que imitaba a shagle.com . Al mismo tiempo, fuimos notificados en Twitter sobre esa muestra, aunque se atribuyó erróneamente a Bahamut. Los datos de la telemetría de ESET aún no identifican a ninguna víctima, lo que sugiere que es probable que la campaña haya tenido un objetivo limitado.
Atribución
La APK distribuida por el sitio que imita a Shagle está firmada con el mismo certificado de firma de código (consulte la Figura 3) que una aplicación del gobierno de Siria troyanizada que fue descubierta en 2021 por Trend Micro, la cual también se atribuyó a StrongPity.
Figura 3. Este certificado firmó la aplicación Shagle falsa y la aplicación e-gov del gobierno de Siria troyanizada
El código malicioso en la falsa aplicación Shagle se observó en la anterior campaña de StrongPity dirigida a móviles e implementa un backdoor simple pero funcional. Hemos visto que este código se usa solo en campañas llevadas adelante por el grupo StrongPity. En la Figura 4, puede observar algunas de las clases maliciosas agregadas con muchos de los nombres ofuscados incluso siendo los mismos en el código de ambas campañas.
Figura 4. Comparación de nombres de clase de la aplicación troyanizada del gobierno de Siria (izquierda) y la aplicación troyanizada de Telegram (derecha)
Al comparar el código del backdoor utilizado en esta campaña con el de la aplicación troyanizada del gobierno sirio (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), descubrimos que el más reciente tiene más funcionalidades pero se utiliza el mismo código para proporcionar funciones similares. En la Figura 5 y la Figura 6 puede comparar el código que se encarga de enviar mensajes entre componentes de ambas muestras. Estos mensajes son los responsables de desencadenar el comportamiento malicioso de ambos backdoor. Por lo tanto, creemos firmemente que la aplicación falsa de Shagle está vinculada al grupo StrongPity.
Figura 5. Despachador de mensajes responsable de activar la funcionalidad maliciosa en la aplicación troyanizada del gobierno sirio.
Figura 6. Despachador de mensajes responsable de activar la funcionalidad maliciosa en la aplicación Shagle falsa
Como mencionamos en la sección Descripción general de esta publicación, la aplicación falsa de Shagle se alojó en el sitio web que se hacía pasar por el sitio oficial de Shagle, desde el cual las víctimas tenían que elegir descargar e instalar la aplicación. No hubo ningún subterfugio que sugiriera que la aplicación estaba disponible en Google Play y no sabemos cómo las víctimas potenciales fueron atraídas o o descubrieron el falso sitio web.