ESET 연구원은 앱 버전이 없는 화상 채팅 서비스인 Shagle 앱으로 표시되는 Android Telegram 앱의 트로이 목마 버전을 배포하는 활성 StrongPity 캠페인을 식별했습니다.
ESET 연구원은 StrongPity APT 그룹이 활동 중인 캠페인을 식별했습니다. 2021년 XNUMX월부터 활성화된 이 캠페인은 낯선 사람 사이에 암호화된 통신을 제공하는 임의 비디오 채팅 서비스인 Shagle을 사칭하는 웹사이트를 통해 악성 앱을 배포했습니다. 서비스에 액세스할 수 있는 공식 모바일 앱을 제공하지 않는 완전한 웹 기반의 정품 Shagle 사이트와 달리, 카피캣 사이트는 다운로드할 수 있는 Android 앱만 제공하며 웹 기반 스트리밍은 불가능합니다.
- 이전에 StrongPity에 기여한 다른 Android 캠페인은 단 하나뿐입니다.
- 설명된 모듈과 해당 기능이 공개적으로 문서화된 것은 이번이 처음입니다.
- StrongPity의 모바일 백도어 앱을 배포하는 데 Shagle 서비스를 모방한 모방 웹사이트가 사용되었습니다.
- 이 앱은 StrongPity 백도어 코드로 재패키징된 오픈 소스 Telegram 앱의 수정된 버전입니다.
- 이전 StrongPity 백도어 코드 및 이전 StrongPity 캠페인의 인증서로 서명된 앱과의 유사성을 기반으로 우리는 이 위협이 StrongPity APT 그룹에 있다고 생각합니다.
- StrongPity의 백도어는 필요한 모든 바이너리 모듈이 AES를 사용하여 암호화되고 C&C 서버에서 다운로드되는 모듈식이며 다양한 스파이 기능이 있습니다.
사실 이 악성 앱은 완전히 작동하지만 합법적인 Telegram 앱의 트로이목마 버전이지만 존재하지 않는 Shagle 앱으로 표시됩니다. 이 블로그 게시물의 나머지 부분에서는 이를 가짜 Shagle 앱, 트로이목마가 포함된 Telegram 앱 또는 StrongPity 백도어라고 합니다. ESET 제품은 이 위협을 Android/StrongPity.A로 탐지합니다.
이 StrongPity 백도어에는 다양한 스파이 기능이 있습니다. 동적으로 트리거되는 11개의 모듈은 전화 통화 녹음, SMS 메시지 수집, 통화 로그 목록, 연락처 목록 등을 담당합니다. 이러한 모듈은 처음으로 문서화되고 있습니다. 피해자가 악성 StrongPity 앱 접근성 서비스를 허용하면 해당 모듈 중 하나가 수신 알림에 액세스할 수 있으며 Viber, Skype, Gmail, Messenger 및 Tinder와 같은 17개 앱에서 통신을 유출할 수 있습니다.
ESET 원격 측정은 여전히 피해자를 식별하지 못하기 때문에 캠페인은 매우 협소한 표적이 될 가능성이 높습니다. 우리가 조사하는 동안, 카피캣 웹사이트에서 사용할 수 있는 분석된 맬웨어 버전은 더 이상 활성화되지 않았으며 StrongPity가 트로이 목마화된 Telegram 앱에 대한 자체 API ID를 얻지 않았기 때문에 더 이상 이를 성공적으로 설치하고 백도어 기능을 트리거할 수 없었습니다. 그러나 공격자가 악성 앱을 업데이트하기로 결정하면 언제든지 변경될 수 있습니다.
살펴보기
이 StrongPity 캠페인은 "dutch"라는 단어가 포함된 도메인에서 전송된 Android 백도어를 중심으로 합니다. 이 웹사이트는 Shagle이라는 합법적인 서비스를 가장합니다. shangle.com. 그림 1에서 두 웹사이트의 홈 페이지를 볼 수 있습니다. 악성 앱은 사칭 웹사이트에서 직접 제공되며 Google Play 스토어에서 제공되지 않습니다. 현재 공식적인 Shagle Android 앱은 없지만 Shagle 앱인 것처럼 표시되는 합법적인 Telegram 앱의 트로이 목마 버전입니다.
그림 1. 왼쪽의 합법적인 웹사이트와 오른쪽의 모방 사이트 비교
그림 2에서 볼 수 있듯이 가짜 사이트의 HTML 코드에는 합법적인 사이트에서 복제되었다는 증거가 포함되어 있습니다. shangle.com 1월 XNUMX일 현장st, 2021, 자동화 도구 사용 HTTrack. 악성도메인은 같은 날 등록되었기 때문에 그 날 이후로 카피캣 사이트와 가짜 샤글 앱이 다운로드가 가능했을 가능성이 있습니다.
그림 2. 가짜 웹사이트의 HTML 코드에 기록된 HTTrack 도구에 의해 생성된 로그
피해자학
7 월 18에서th, 2022, VirusTotal의 YARA 규칙 중 하나는 악성 앱과 모방 웹 사이트 링크가 있을 때 트리거되었습니다. shangle.com 업로드되었습니다. 동시에 우리는 트위터 실수로 그 샘플에 대해 바하무트에 기인. ESET 원격 측정 데이터는 여전히 피해자를 식별하지 못하여 캠페인이 협소한 표적이 되었을 가능성이 있음을 시사합니다.
속성
모방범인 Shagle 웹사이트에서 배포한 APK는 3년 트렌드 마이크로, 이것은 또한 StrongPity에 기인합니다.
그림 3. 이 인증서는 가짜 Shagle 앱과 트로이 목마화된 시리아 전자 정부 앱에 서명했습니다.
가짜 Shagle 앱의 악성코드는 StrongPity의 이전 모바일 캠페인에서 발견되었으며 단순하지만 기능적인 백도어를 구현합니다. 우리는 이 코드가 StrongPity가 수행하는 캠페인에서만 사용되는 것을 보았습니다. 그림 4에서는 두 캠페인의 코드에서 동일한 난독화된 이름이 많은 추가된 악성 클래스 중 일부를 볼 수 있습니다.
그림 4. 트로이목마에 감염된 시리아 전자정부 앱(왼쪽)과 트로이목마에 감염된 텔레그램 앱(오른쪽)의 클래스 이름 비교
이 캠페인의 백도어 코드를 트로이목마 시리아 전자 정부 앱(SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), 기능이 확장되었지만 유사한 기능을 제공하기 위해 동일한 코드가 사용됩니다. 그림 5와 그림 6에서 구성 요소 간에 메시지 전송을 담당하는 두 샘플의 코드를 비교할 수 있습니다. 이러한 메시지는 백도어의 악의적인 동작을 유발하는 역할을 합니다. 따라서 우리는 가짜 Shagle 앱이 StrongPity 그룹과 연결되어 있다고 강력하게 믿습니다.
그림 5. 트로이 목마가 포함된 시리아 전자 정부 앱에서 악성 기능을 트리거하는 메시지 디스패처
그림 6. 가짜 Shagle 앱에서 악성 기능을 트리거하는 메시지 디스패처
기술적 분석
초기 액세스
이 블로그 게시물의 개요 섹션에서 설명한 것처럼 가짜 Shagle 앱은 Shagle copycat 웹 사이트에서 호스팅되었으며 피해자는 여기에서 앱을 다운로드하고 설치해야 했습니다. Google Play에서 앱을 사용할 수 있다는 핑계는 없었으며 잠재적인 피해자가 어떻게 가짜 웹사이트로 유인되거나 다른 방법으로 발견되었는지 알 수 없습니다.
툴셋
copycat 웹 사이트의 설명에 따르면 이 앱은 무료이며 새로운 사람들을 만나고 채팅하는 데 사용하도록 고안되었습니다. 그러나 다운로드한 앱은 악성 패치가 적용된 텔레그램 앱, 구체적으로 7.5.0월 22467일경 다운로드가 가능했던 텔레그램 버전 25(XNUMX)입니다.th, 2022.
리패키징 버전의 Telegram은 합법적인 Telegram 앱과 동일한 패키지 이름을 사용합니다. 패키지 이름은 각 Android 앱의 고유한 ID여야 하며 주어진 기기에서 고유해야 합니다. 즉, 잠재적인 피해자의 기기에 공식 텔레그램 앱이 이미 설치되어 있으면 이 백도어 버전을 설치할 수 없습니다. 그림 7을 참조하십시오. 이것은 두 가지 중 하나를 의미할 수 있습니다. 위협 행위자는 먼저 잠재적인 피해자와 통신하고 Telegram이 설치되어 있는 경우 장치에서 Telegram을 제거하도록 강요하거나 Telegram이 통신에 거의 사용되지 않는 국가에 초점을 맞춥니다.
그림 7. 공식 텔레그램 앱이 기기에 이미 설치되어 있는 경우 트로이 목마 버전을 성공적으로 설치할 수 없습니다.
StrongPity의 트로이 목마화된 Telegram 앱은 Telegram 웹사이트에 잘 문서화되어 있는 표준 API를 사용하여 통신을 위한 공식 버전처럼 작동했어야 합니다. 하지만 앱이 더 이상 작동하지 않아 확인할 수 없습니다.
우리가 조사하는 동안 copycat 웹 사이트에서 사용할 수 있는 현재 버전의 맬웨어는 더 이상 활성화되지 않았으며 더 이상 이를 성공적으로 설치하고 백도어 기능을 트리거할 수 없었습니다. 저희가 전화번호로 가입을 시도했을 때 리패키징된 텔레그램 앱이 서버에서 API ID를 가져오지 못해 제대로 작동하지 않았습니다. 그림 8에서 볼 수 있듯이 앱은 API_ID_PUBLISHED_FLOOD 오류.
그림 8. 전화번호를 사용하여 가입하는 동안 표시되는 오류
텔레그램을 기반으로 오류 문서, StrongPity가 자체 API ID를 얻지 못한 것 같습니다. 대신 초기 테스트 목적으로 Telegram의 오픈 소스 코드에 포함된 샘플 API ID를 사용했습니다. Telegram은 API ID 사용을 모니터링하고 샘플 API ID를 제한하므로 릴리스된 앱에서 사용하면 그림 8과 같은 오류가 발생합니다. 오류로 인해 더 이상 앱에 가입하여 사용하거나 악성 기능을 트리거할 수 없습니다. . 이것은 StrongPity 운영자가 이것을 충분히 생각하지 않았거나 앱을 게시하고 앱 ID 남용으로 인해 Telegram에 의해 비활성화되는 사이에 피해자를 감시할 충분한 시간이 있었음을 의미할 수 있습니다. 작동하는 새 버전의 앱이 웹 사이트를 통해 제공되지 않았기 때문에 StrongPity가 원하는 대상에 악성 코드를 성공적으로 배포했음을 시사할 수 있습니다.
그 결과 조사 당시 가짜 웹사이트에 있던 가짜 Shagle 앱이 더 이상 활성화되지 않았습니다. 그러나 위협 행위자가 악성 앱을 업데이트하기로 결정하면 언제든지 변경될 수 있습니다.
StrongPity 백도어 코드의 구성 요소 및 필요한 권한은 Telegram 앱의 AndroidManifest.xml 파일. 그림 9에서 볼 수 있듯이 이를 통해 맬웨어에 필요한 권한을 쉽게 확인할 수 있습니다.
그림 9. StrongPity 백도어의 구성 요소 및 권한이 강조 표시된 AndroidManifest.xml
Android 매니페스트에서 악성 클래스가 추가된 것을 볼 수 있습니다. org.telegram.messenger 패키지가 원래 앱의 일부로 표시됩니다.
초기 악성 기능은 정의된 작업 후에 실행되는 세 개의 브로드캐스트 수신기 중 하나에 의해 트리거됩니다. 부팅_완료됨, 배터리 부족및 USER_PRESENT. 처음 시작 후 모니터링할 추가 broadcast receiver를 동적으로 등록합니다. 화면 켜짐, 화면 꺼짐및 연결성_CHANGE 이벤트. 그런 다음 가짜 Shagle 앱은 IPC(프로세스 간 통신)를 사용하여 구성 요소 간에 통신하여 다양한 작업을 트리거합니다. HTTPS를 사용하여 C&C 서버에 접속하여 손상된 장치에 대한 기본 정보를 보내고 부모 앱에서 동적으로 실행될 11개의 바이너리 모듈이 포함된 AES 암호화 파일을 받습니다. 그림 10을 참조하십시오. 그림 11에서 볼 수 있듯이 이러한 모듈은 앱의 내부 저장소에 저장됩니다. /data/user/0/org.telegram.messenger/files/.li/.
그림 10. StrongPity 백도어는 실행 가능한 모듈이 포함된 암호화된 파일을 수신합니다.
그림 11. StrongPity 백도어의 내부 저장소에 저장된 서버로부터 받은 모듈
각 모듈은 서로 다른 기능을 담당합니다. 모듈 이름 목록은 다음의 로컬 공유 기본 설정에 저장됩니다. 공유 구성.xml 파일; 그림 12를 참조하십시오.
모듈은 필요할 때마다 상위 앱에 의해 동적으로 트리거됩니다. 각 모듈에는 자체 모듈 이름이 있으며 다음과 같은 다양한 기능을 담당합니다.
- libarm.jar (cm 모듈) – 전화 통화 기록
- libmpeg4.jar (nt 모듈) – 17개 앱에서 들어오는 알림 메시지 텍스트 수집
- local.jar (fm/fp 모듈) – 장치의 파일 목록(파일 트리) 수집
- 전화.항아리 (ms 모듈) – 연락처 이름, 채팅 메시지 및 날짜를 유출하여 메시징 앱을 감시하기 위해 접근성 서비스를 오용합니다.
- 리소스.jar (sm 모듈) – 장치에 저장된 SMS 메시지 수집
- 서비스.jar (lo 모듈) – 장치 위치를 얻습니다.
- systemui.jar (sy 모듈) – 장치 및 시스템 정보 수집
- 타이머.jar (ia 모듈) – 설치된 앱 목록 수집
- 툴킷.jar (cn 모듈) – 연락처 목록 수집
- watchkit.jar (ac 모듈) – 장치 계정 목록 수집
- 웨어킷.jar (cl 모듈) – 통화 로그 목록 수집
그림 12. StrongPity 백도어가 사용하는 모듈 목록
획득한 모든 데이터는 /data/user/0/org.telegram.messenger/databases/outdata, AES를 사용하여 암호화하고 C&C 서버로 전송하기 전에 그림 13에서 볼 수 있습니다.
그림 13. C&C 서버로 유출된 암호화된 사용자 데이터
이 StrongPity 백도어는 모바일용으로 발견된 첫 번째 StrongPity 버전에 비해 스파이 기능이 확장되었습니다. 피해자에게 접근성 서비스를 활성화하고 알림 액세스 권한을 얻도록 요청할 수 있습니다. 그림 14를 참조하십시오. 피해자가 이를 활성화하면 맬웨어는 들어오는 알림을 염탐하고 접근성 서비스를 오용하여 다른 앱에서 채팅 통신을 빼냅니다.
그림 14. 피해자의 악성코드 요청, 알림 액세스 및 접근성 서비스
알림 액세스를 통해 멀웨어는 17개의 대상 앱에서 수신된 알림 메시지를 읽을 수 있습니다. 패키지 이름 목록은 다음과 같습니다.
- 메신저 (com.facebook.orca)
- 메신저 라이트(com.facebook.mlite)
- Viber – 안전한 채팅 및 통화(com.viber.voip)
- 스카이프 (com.skype.raider)
- LINE: 통화 및 메시지(jp.naver.line.android)
- Kik — 메시징 및 채팅 앱(kik.android)
- 탱고 라이브 스트림 및 화상 채팅(com.sgiggle.production)
- 행아웃(com.google.android.talk)
- 전보 (org.telegram.messenger)
- 위챗(com.tencent.mm)
- 스냅챗(com.snapchat.android)
- 틴더(com.tinder)
- 하이킹 뉴스 및 콘텐츠(com.bsb.hike)
- 인스 타 그램 (com.instagram.android)
- 트위터 (com.twitter.android)
- 지메일(com.google.android.gm)
- imo-국제전화 및 채팅(com.imo.android.imoim)
장치가 이미 루팅된 경우 맬웨어는 자동으로 다음에 대한 권한 부여를 시도합니다. WRITE_SETTINGS, WRITE_SECURE_SETTINGS, 재부팅, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, 접근성 서비스를 활성화하고 알림 액세스 권한을 부여합니다. 그런 다음 StrongPity 백도어는 SecurityLogAgent 앱을 비활성화하려고 시도합니다(com.samsung.android.securitylogagent)는 삼성 기기의 보안을 보호하고 앱 오류, 충돌 또는 경고가 발생할 경우 향후 피해자에게 표시될 수 있는 맬웨어 자체에서 오는 모든 앱 알림을 비활성화하는 공식 시스템 앱입니다. StrongPity 백도어는 자체적으로 장치를 루팅하려고 시도하지 않습니다.
AES 알고리즘은 CBC 모드와 하드코딩된 키를 사용하여 다운로드한 모듈을 해독합니다.
- AES 키 – aaaanthingimpossiblebbb
- AES IV – 으아아악
결론
StrongPity APT 그룹이 운영하는 모바일 캠페인은 합법적인 서비스를 사칭하여 Android 백도어를 배포했습니다. StrongPity는 그룹의 백도어 코드 변형을 포함하도록 공식 텔레그램 앱을 다시 패키징했습니다.
악성 코드, 그 기능, 클래스 이름 및 APK 파일 서명에 사용되는 인증서는 이전 캠페인과 동일합니다. 따라서 우리는 이 작업이 StrongPity 그룹에 속한다고 확신합니다.
조사 당시 copycat 웹 사이트에서 사용할 수 있었던 샘플은 다음으로 인해 비활성화되었습니다. API_ID_PUBLISHED_FLOOD 오류로 인해 악성 코드가 실행되지 않고 잠재적인 피해자가 기기에서 작동하지 않는 앱을 제거할 수 있습니다.
코드 분석 결과 백도어는 모듈식이며 추가 바이너리 모듈은 C&C 서버에서 다운로드됩니다. 이는 StrongPity 그룹에서 운영할 때 캠페인 요청에 맞게 사용되는 모듈의 수와 유형을 언제든지 변경할 수 있음을 의미합니다.
당사의 분석에 따르면 이것은 StrongPity의 Android 맬웨어의 두 번째 버전인 것으로 보입니다. 첫 번째 버전과 비교하여 접근성 서비스 및 알림 액세스를 오용하고 수집된 데이터를 로컬 데이터베이스에 저장하고 실행을 시도합니다. su 명령을 사용하며 대부분의 데이터 수집은 다운로드한 모듈을 사용합니다.
IoC
파일
| SHA-1 | 파일 이름 | ESET 탐지 이름 | 상품 설명 |
|---|---|---|---|
| 50F79C7DFABECF04522AEB2AC987A800AB5EC6D7 | video.apk | 안드로이드/StrongPity.A | StrongPity 백도어(악성 코드로 재패키징된 합법적인 Android Telegram 앱). |
| 77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91 | libarm.jar | 안드로이드/StrongPity.A | 통화 녹음을 담당하는 StrongPity 모바일 모듈. |
| 5A15F516D5C58B23E19D6A39325B4B5C5590BDE0 | libmpeg4.jar | 안드로이드/StrongPity.A | 수신된 알림 텍스트 수집을 담당하는 StrongPity 모바일 모듈. |
| D44818C061269930E50868445A3418A0780903FE | local.jar | 안드로이드/StrongPity.A | 디바이스에서 파일 목록 수집을 담당하는 StrongPity 모바일 모듈. |
| F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE | 전화.항아리 | 안드로이드/StrongPity.A | 접근성 서비스를 오용하여 다른 앱을 감시하는 StrongPity 모바일 모듈. |
| 3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E | 리소스.jar | 안드로이드/StrongPity.A | 디바이스에 저장된 SMS 메시지 수집을 담당하는 StrongPity 모바일 모듈. |
| 5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7 | 서비스.jar | 안드로이드/StrongPity.A | 디바이스 위치 획득을 담당하는 StrongPity 모바일 모듈. |
| BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0 | systemui.jar | 안드로이드/StrongPity.A | 디바이스 및 시스템 정보 수집을 담당하는 StrongPity 모바일 모듈. |
| ED02E16F0D57E4AD2D58F95E88356C17D6396658 | 타이머.jar | 안드로이드/StrongPity.A | 설치된 앱 목록 수집을 담당하는 StrongPity 모바일 모듈. |
| F754874A76E3B75A5A5C7FE849DDAE318946973B | 툴킷.jar | 안드로이드/StrongPity.A | 연락처 목록 수집을 담당하는 StrongPity 모바일 모듈. |
| E46B76CADBD7261FE750DBB9B0A82F262AFEB298 | watchkit.jar | 안드로이드/StrongPity.A | 디바이스 계정 목록 수집을 담당하는 StrongPity 모바일 모듈. |
| D9A71B13D3061BE12EE4905647DDC2F1189F00DE | 웨어킷.jar | 안드로이드/StrongPity.A | 콜 로그 목록 수집을 담당하는 StrongPity 모바일 모듈. |
네트워크
| IP | Provider | 처음 본 | 세부 정보 |
|---|---|---|---|
| 141.255.161[.]185 | NameCheap | 2022-07-28 | intagrefedcircuitchip[.]com C & C |
| 185.12.46[.]138 | 돼지고기 | 2020-04-21 | networksoftwaresegment[.]com C & C |
MITRE ATT&CK 기술
이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 MITRE ATT&CK 프레임워크.
| 술책 | ID | 성함 | 상품 설명 |
|---|---|---|---|
| 고집 | T1398 | 부팅 또는 로그온 초기화 스크립트 | StrongPity 백도어는 부팅_완료됨 장치 시작 시 활성화할 브로드캐스트 인텐트. |
| T1624.001 | 이벤트 트리거 실행: 브로드캐스트 수신기 | 다음 이벤트 중 하나가 발생하면 StrongPity 백도어 기능이 트리거됩니다. 배터리 부족, USER_PRESENT, 화면 켜짐, 화면 꺼짐및 연결성_CHANGE. | |
| 방어 회피 | T1407 | 런타임 시 새 코드 다운로드 | StrongPity 백도어는 추가 바이너리 모듈을 다운로드하고 실행할 수 있습니다. |
| T1406 | 난독화된 파일 또는 정보 | StrongPity 백도어는 AES 암호화를 사용하여 다운로드한 모듈을 난독화하고 APK에서 문자열을 숨깁니다. | |
| T1628.002 | 아티팩트 숨기기: 사용자 회피 | StrongPity 백도어는 멀웨어 자체에서 오는 모든 앱 알림을 비활성화하여 그 존재를 숨길 수 있습니다. | |
| T1629.003 | 방어력 손상: 도구 비활성화 또는 수정 | StrongPity 백도어에 루트가 있으면 SecurityLogAgent를 비활성화합니다(com.samsung.android.securitylogagent) 있는 경우. | |
| 발견 | T1420 | 파일 및 디렉토리 검색 | StrongPity 백도어는 외부 저장소에서 사용 가능한 파일을 나열할 수 있습니다. |
| T1418 | 소프트웨어 검색 | StrongPity 백도어는 설치된 애플리케이션 목록을 얻을 수 있습니다. | |
| T1422 | 시스템 네트워크 구성 검색 | StrongPity 백도어는 IMEI, IMSI, IP 주소, 전화번호, 국가를 추출할 수 있습니다. | |
| T1426 | 시스템 정보 검색 | StrongPity 백도어는 인터넷 연결 유형, SIM 일련 번호, 장치 ID 및 공통 시스템 정보를 포함하여 장치에 대한 정보를 추출할 수 있습니다. | |
| 수집 | T1417.001 | 입력 캡처: 키로깅 | StrongPity 백도어는 채팅 메시지의 키 입력과 대상 앱의 통화 데이터를 기록합니다. |
| T1517 | 액세스 알림 | StrongPity 백도어는 17개의 대상 앱에서 알림 메시지를 수집할 수 있습니다. | |
| T1532 | 수집된 데이터 아카이브 | StrongPity 백도어는 AES를 사용하여 유출된 데이터를 암호화합니다. | |
| T1430 | 위치 추적 | StrongPity 백도어는 장치 위치를 추적합니다. | |
| T1429 | 오디오 캡처 | StrongPity 백도어는 전화 통화를 녹음할 수 있습니다. | |
| T1513 | 화면 캡처 | StrongPity 백도어는 다음을 사용하여 장치 화면을 녹화할 수 있습니다. 미디어 프로젝션 관리자 API. | |
| T1636.002 | 보호된 사용자 데이터: 통화 기록 | StrongPity 백도어는 통화 기록을 추출할 수 있습니다. | |
| T1636.003 | 보호된 사용자 데이터: 연락처 목록 | StrongPity 백도어는 장치의 연락처 목록을 추출할 수 있습니다. | |
| T1636.004 | 보호된 사용자 데이터: SMS 메시지 | StrongPity 백도어는 SMS 메시지를 추출할 수 있습니다. | |
| 명령 및 제어 | T1437.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | StrongPity 백도어는 HTTPS를 사용하여 C&C 서버와 통신합니다. |
| T1521.001 | 암호화된 채널: 대칭 암호화 | StrongPity 백도어는 AES를 사용하여 통신을 암호화합니다. | |
| 여과 | T1646 | C2 채널을 통한 유출 | StrongPity 백도어는 HTTPS를 사용하여 데이터를 유출합니다. |
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
