Các nhà nghiên cứu của ESET đã xác định một chiến dịch đang hoạt động mà chúng tôi quy cho nhóm StrongPity APT. Hoạt động kể từ tháng 2021 năm XNUMX, chiến dịch đã phát tán một ứng dụng độc hại thông qua một trang web mạo danh Shagle – một dịch vụ trò chuyện video ngẫu nhiên cung cấp thông tin liên lạc được mã hóa giữa những người lạ. Không giống như trang Shagle chính hãng hoàn toàn dựa trên web không cung cấp ứng dụng di động chính thức để truy cập các dịch vụ của mình, trang sao chép chỉ cung cấp ứng dụng Android để tải xuống và không thể phát trực tuyến dựa trên web.

Trên thực tế, ứng dụng độc hại là một phiên bản đầy đủ chức năng nhưng đã bị trojan hóa của ứng dụng Telegram hợp pháp, tuy nhiên, được trình bày dưới dạng ứng dụng Shagle không tồn tại. Chúng tôi sẽ gọi nó là ứng dụng Shagle giả mạo, ứng dụng Telegram bị trojan hóa hoặc cửa hậu StrongPity trong phần còn lại của bài đăng trên blog này. Các sản phẩm của ESET phát hiện mối đe dọa này là Android/StrongPity.A.

Cửa hậu StrongPity này có nhiều tính năng gián điệp khác nhau: 11 mô-đun được kích hoạt động của nó chịu trách nhiệm ghi âm các cuộc gọi điện thoại, thu thập tin nhắn SMS, danh sách nhật ký cuộc gọi, danh sách liên hệ, v.v. Các mô-đun này đang được ghi lại lần đầu tiên. Nếu nạn nhân cấp các dịch vụ trợ năng của ứng dụng StrongPity độc hại, một trong các mô-đun của nó cũng sẽ có quyền truy cập vào các thông báo đến và có thể lấy cắp thông tin liên lạc từ 17 ứng dụng như Viber, Skype, Gmail, Messenger cũng như Tinder.

Chiến dịch có khả năng được nhắm mục tiêu rất hẹp, vì phép đo từ xa của ESET vẫn không xác định được bất kỳ nạn nhân nào. Trong quá trình nghiên cứu của chúng tôi, phiên bản được phân tích của phần mềm độc hại có sẵn từ trang web copycat không còn hoạt động nữa và không thể cài đặt thành công cũng như kích hoạt chức năng cửa sau của nó vì StrongPity chưa có ID API riêng cho ứng dụng Telegram bị trojan hóa. Nhưng điều đó có thể thay đổi bất cứ lúc nào nếu tác nhân đe dọa quyết định cập nhật ứng dụng độc hại.

Giới thiệu chung

Chiến dịch StrongPity này xoay quanh một cửa hậu Android được gửi từ một miền có chứa từ “dutch”. Trang web này mạo danh dịch vụ hợp pháp có tên Shagle tại shagle.com. Trong Hình 1, bạn có thể thấy trang chủ của cả hai trang web. Ứng dụng độc hại được cung cấp trực tiếp từ trang web mạo danh và chưa bao giờ được cung cấp từ cửa hàng Google Play. Nó là một phiên bản trojan của ứng dụng Telegram hợp pháp, được trình bày như thể nó là ứng dụng Shagle, mặc dù hiện tại không có ứng dụng Shagle Android chính thức nào.

Hình 1. So sánh trang web hợp pháp ở bên trái và trang web bắt chước ở bên phải

Như bạn có thể thấy trong Hình 2, mã HTML của trang giả mạo bao gồm bằng chứng cho thấy nó đã được sao chép từ trang hợp pháp. shagle.com trang web vào ngày 1 tháng XNUMX^st, 2021, sử dụng công cụ tự động HTTrack. Miền độc hại đã được đăng ký vào cùng ngày, vì vậy trang web sao chép và ứng dụng Shagle giả mạo có thể đã có sẵn để tải xuống kể từ ngày đó.

Hình 2. Nhật ký được tạo bởi công cụ HTTrack được ghi trong mã HTML của trang web giả mạo

Nạn nhân

Vào tháng 7 18^th, 2022, một trong các quy tắc YARA của chúng tôi tại VirusTotal đã được kích hoạt khi một ứng dụng độc hại và liên kết đến một trang web bắt chước shagle.com đã được tải lên. Đồng thời, chúng tôi đã được thông báo về Twitter về mẫu đó, mặc dù nó đã bị nhầm lẫn quy cho Bahamut. Dữ liệu đo từ xa của ESET vẫn không xác định được bất kỳ nạn nhân nào, cho thấy chiến dịch có thể đã được nhắm mục tiêu hẹp.

Ghi công

APK do trang web bắt chước Shagle phân phối được ký bằng cùng một chứng chỉ ký mã (xem Hình 3) như một ứng dụng chính phủ điện tử Syria bị trojan hóa được phát hiện vào năm 2021 bởi Trend Micro, cũng được quy cho StrongPity.

Hình 3. Chứng chỉ này đã ký vào ứng dụng Shagle giả mạo và ứng dụng e-gov Syria bị trojan hóa

Mã độc hại trong ứng dụng Shagle giả mạo đã được StrongPity nhìn thấy trong chiến dịch di động trước đó và triển khai một cửa hậu đơn giản nhưng đầy đủ chức năng. Chúng tôi đã thấy mã này chỉ được sử dụng trong các chiến dịch do StrongPity thực hiện. Trong Hình 4, bạn có thể thấy một số lớp độc hại được thêm vào với nhiều tên khó hiểu thậm chí giống nhau trong mã của cả hai chiến dịch.

Hình 4. So sánh tên lớp của ứng dụng e-gov Syria bị trojan hóa (trái) và ứng dụng Telegram bị trojan hóa (phải)

So sánh mã cửa hậu từ chiến dịch này với mã từ ứng dụng chính phủ điện tử Syria bị trojan hóa (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), nó có chức năng mở rộng nhưng có cùng mã được sử dụng để cung cấp các chức năng tương tự. Trong Hình 5 và Hình 6, bạn có thể so sánh mã từ cả hai mẫu chịu trách nhiệm gửi tin nhắn giữa các thành phần. Những thông báo này chịu trách nhiệm kích hoạt hành vi độc hại của cửa hậu. Do đó, chúng tôi thực sự tin rằng ứng dụng Shagle giả mạo được liên kết với nhóm StrongPity.

Hình 5. Trình gửi tin nhắn chịu trách nhiệm kích hoạt chức năng độc hại trong ứng dụng chính phủ điện tử Syria bị trojan hóa

Hình 6. Trình gửi tin nhắn chịu trách nhiệm kích hoạt chức năng độc hại trong ứng dụng Shagle giả mạo

Phân tích kỹ thuật

Quyền truy cập ban đầu

Như được mô tả trong phần Tổng quan của bài đăng trên blog này, ứng dụng Shagle giả mạo đã được lưu trữ tại trang web bắt chước Shagle, từ đó nạn nhân phải chọn tải xuống và cài đặt ứng dụng. Không có sự che giấu nào cho thấy ứng dụng này có sẵn từ Google Play và chúng tôi không biết các nạn nhân tiềm năng đã bị dụ hoặc phát hiện ra trang web giả mạo như thế nào.

Bộ công cụ

Theo mô tả trên trang web copycat, ứng dụng này miễn phí và được dùng để gặp gỡ và trò chuyện với những người mới. Tuy nhiên, ứng dụng đã tải xuống là một ứng dụng Telegram được vá độc hại, cụ thể là Telegram phiên bản 7.5.0 (22467), có sẵn để tải xuống vào khoảng ngày 25 tháng XNUMX^th, 2022.

Phiên bản đóng gói lại của Telegram sử dụng cùng tên gói với ứng dụng Telegram hợp pháp. Tên gói được coi là ID duy nhất cho mỗi ứng dụng Android và phải là duy nhất trên bất kỳ thiết bị cụ thể nào. Điều này có nghĩa là nếu ứng dụng Telegram chính thức đã được cài đặt trên thiết bị của một nạn nhân tiềm năng thì không thể cài đặt phiên bản cửa sau này; xem Hình 7. Điều này có thể có nghĩa là một trong hai điều sau – hoặc là kẻ đe dọa trước tiên liên lạc với các nạn nhân tiềm năng và thúc đẩy họ gỡ cài đặt Telegram khỏi thiết bị của họ nếu nó được cài đặt hoặc chiến dịch tập trung vào các quốc gia hiếm khi sử dụng Telegram để liên lạc.

Hình 7. Nếu ứng dụng Telegram chính thức đã được cài đặt trên thiết bị, không thể cài đặt thành công phiên bản bị trojan hóa

Ứng dụng Telegram bị trojan hóa của StrongPity lẽ ra phải hoạt động giống như phiên bản chính thức để liên lạc, sử dụng các API tiêu chuẩn được ghi lại đầy đủ trên trang web Telegram – nhưng ứng dụng này không còn hoạt động nữa nên chúng tôi không thể kiểm tra.

Trong quá trình nghiên cứu của chúng tôi, phiên bản hiện tại của phần mềm độc hại có sẵn từ trang web copycat không còn hoạt động nữa và không thể cài đặt thành công cũng như kích hoạt chức năng cửa hậu của nó nữa. Khi chúng tôi cố gắng đăng ký bằng số điện thoại của mình, ứng dụng Telegram được đóng gói lại không thể lấy ID API từ máy chủ và do đó không hoạt động bình thường. Như đã thấy trong Hình 8, ứng dụng đã hiển thị một API_ID_PUBLISHED_FLOOD lỗi.

Hình 8. Lỗi hiển thị khi đăng ký bằng số điện thoại

Dựa trên Telegram tài liệu lỗi, có vẻ như StrongPity chưa nhận được ID API của riêng mình. Thay vào đó, nó đã sử dụng ID API mẫu có trong mã nguồn mở của Telegram cho mục đích thử nghiệm ban đầu. Telegram giám sát việc sử dụng ID API và giới hạn ID API mẫu, vì vậy việc sử dụng nó trong một ứng dụng đã phát hành dẫn đến lỗi như trong Hình 8. Do lỗi này, không thể đăng ký và sử dụng ứng dụng hoặc kích hoạt chức năng độc hại của nó nữa . Điều này có thể có nghĩa là các nhà khai thác StrongPity đã không nghĩ đến điều này hoặc có lẽ đã có đủ thời gian để theo dõi nạn nhân giữa lúc xuất bản ứng dụng và ứng dụng bị Telegram vô hiệu hóa do lạm dụng ID APP. Vì không có phiên bản mới và đang hoạt động nào của ứng dụng được cung cấp thông qua trang web, nên có thể StrongPity đã triển khai thành công phần mềm độc hại tới các mục tiêu mong muốn.

Do đó, ứng dụng Shagle giả mạo có sẵn trên trang web giả mạo tại thời điểm chúng tôi nghiên cứu không còn hoạt động nữa. Tuy nhiên, điều này có thể thay đổi bất cứ lúc nào nếu các tác nhân đe dọa quyết định cập nhật ứng dụng độc hại.

Các thành phần và quyền được yêu cầu bởi mã cửa hậu StrongPity được thêm vào ứng dụng Telegram AndroidManifest.xml tập tin. Như có thể thấy trong Hình 9, điều này giúp bạn dễ dàng xem những quyền nào cần thiết cho phần mềm độc hại.

Hình 9. AndroidManifest.xml với các thành phần và quyền của cửa hậu StrongPity được làm nổi bật

Từ bảng kê khai Android, chúng ta có thể thấy rằng các lớp độc hại đã được thêm vào org.telegram.mesbah gói xuất hiện như một phần của ứng dụng gốc.

Chức năng độc hại ban đầu được kích hoạt bởi một trong ba bộ thu quảng bá được thực thi sau các hành động được xác định – BOOT_COMPLETED, PIN YẾU, hoặc là USER_PRESENT. Sau lần khởi động đầu tiên, nó sẽ tự động đăng ký các bộ thu quảng bá bổ sung để giám sát SCREEN_ON, TẮT MÀN HÌNHvà KẾT NỐI_CHANGE sự kiện. Sau đó, ứng dụng Shagle giả sử dụng IPC (giao tiếp giữa các quá trình) để giao tiếp giữa các thành phần của nó nhằm kích hoạt các hành động khác nhau. Nó liên hệ với máy chủ C&C bằng HTTPS để gửi thông tin cơ bản về thiết bị bị xâm nhập và nhận tệp được mã hóa AES chứa 11 mô-đun nhị phân sẽ được ứng dụng gốc thực thi động; xem Hình 10. Như đã thấy trong Hình 11, các mô-đun này được lưu trữ trong bộ nhớ trong của ứng dụng, /data/user/0/org.telegram.messenger/files/.li/.

Hình 10. Cửa hậu StrongPity nhận một tệp được mã hóa có chứa các mô-đun thực thi

Hình 11. Các mô-đun nhận được từ máy chủ được lưu trữ trong bộ nhớ trong của cửa hậu StrongPity

Mỗi mô-đun chịu trách nhiệm cho các chức năng khác nhau. Danh sách tên mô-đun được lưu trữ trong tùy chọn chia sẻ cục bộ trong chia sẻconfig.xml tập tin; xem Hình 12.

Các mô-đun được kích hoạt động bởi ứng dụng mẹ bất cứ khi nào cần thiết. Mỗi mô-đun có tên mô-đun riêng và chịu trách nhiệm về các chức năng khác nhau, chẳng hạn như:

• libarm.jar (mô-đun cm) – ghi lại các cuộc gọi điện thoại
• libmpeg4.jar (nt module) – thu thập văn bản của các tin nhắn thông báo đến từ 17 ứng dụng
• địa phương.jar (mô-đun fm/fp) – thu thập danh sách tệp (cây tệp) trên thiết bị
• điện thoại.jar (mô-đun ms) – lạm dụng các dịch vụ trợ năng để theo dõi các ứng dụng nhắn tin bằng cách lấy trộm tên liên hệ, tin nhắn trò chuyện và ngày tháng
• tài nguyên.jar (mô-đun sm) – thu thập tin nhắn SMS được lưu trữ trên thiết bị
• dịch vụ.jar (lo module) – lấy vị trí thiết bị
• systemui.jar (mô-đun sy) – thu thập thông tin hệ thống và thiết bị
• hẹn giờ.jar (ia module) – thu thập danh sách các ứng dụng đã cài đặt
• bộ công cụ.jar (mô-đun cn) – thu thập danh sách liên hệ
• watchkit.jar (mô-đun ac) – thu thập danh sách tài khoản thiết bị
• wearkit.jar (mô-đun cl) – thu thập danh sách nhật ký cuộc gọi

Hình 12. Danh sách các mô-đun được sử dụng bởi cửa hậu StrongPity

Tất cả dữ liệu thu được được lưu trữ rõ ràng trong /data/user/0/org.telegram.messenger/databases/outdata, trước khi được mã hóa bằng AES và gửi đến máy chủ C&C, như bạn có thể thấy trong Hình 13.

Hình 13. Dữ liệu người dùng được mã hóa được lọc ra máy chủ C&C

Cửa hậu StrongPity này có các tính năng gián điệp mở rộng so với phiên bản StrongPity đầu tiên được phát hiện dành cho thiết bị di động. Nó có thể yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng và có quyền truy cập thông báo; xem Hình 14. Nếu nạn nhân kích hoạt chúng, phần mềm độc hại sẽ theo dõi các thông báo đến và lạm dụng các dịch vụ trợ năng để đánh cắp thông tin liên lạc trò chuyện từ các ứng dụng khác.

Hình 14. Yêu cầu phần mềm độc hại, từ nạn nhân, quyền truy cập thông báo và dịch vụ trợ năng

Với quyền truy cập thông báo, phần mềm độc hại có thể đọc các tin nhắn thông báo đã nhận đến từ 17 ứng dụng được nhắm mục tiêu. Dưới đây là danh sách các tên gói của họ:

• Tin nhắn (com.facebook.orca)
• tin nhắn nhỏ (com.facebook.mlite)
• Viber – Trò chuyện và Cuộc gọi An toàn (com.viber.voip)
• Ứng dụng trò chuyện (com.skype.raider)
• LINE: Cuộc gọi & Tin nhắn (jp.naver.line.android)
• Kik — Ứng dụng nhắn tin & trò chuyện (kik.android)
• trò chuyện video và phát trực tiếp tango (com.sgiggle.product)
• Hangout (com.google.android.talk)
• điện tín (org.telegram.mesbah)
• Wechat (com.tencent.mm)
• Snapchat (com.snapchat.android)
• bùi nhùi (com.tinder)
• Hike Tin tức & Nội dung (com.bsb.hike)
• instagram (com.instagram.android)
• Twitter (com.twitter.android)
• Gmail (com.google.android.gm)
• imo-Cuộc gọi & Trò chuyện Quốc tế (com.imo.android.imoim)

Nếu thiết bị đã được root, phần mềm độc hại sẽ âm thầm cấp quyền cho WRITE_SETTINGS, WRITE_SECURE_SETTINGS, KHỞI ĐỘNG LẠI, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, để bật dịch vụ trợ năng và cấp quyền truy cập thông báo. Sau đó, cửa hậu StrongPity cố gắng vô hiệu hóa ứng dụng SecurityLogAgent (com.samsung.android.securitylogagent), là một ứng dụng hệ thống chính thức giúp bảo vệ tính bảo mật của các thiết bị Samsung và vô hiệu hóa tất cả các thông báo ứng dụng đến từ chính phần mềm độc hại có thể hiển thị cho nạn nhân trong tương lai trong trường hợp xảy ra lỗi, sự cố hoặc cảnh báo ứng dụng. Cửa hậu StrongPity không cố gắng root thiết bị.

Thuật toán AES sử dụng chế độ CBC và các khóa được mã hóa cứng để giải mã các mô-đun đã tải xuống:

• Phím AES – aaakhông có gì là không thể đượcbbb
• AES IV – aaakhông có gì ấn tượng

Kết luận

Chiến dịch di động do nhóm StrongPity APT điều hành đã mạo danh một dịch vụ hợp pháp để phân phối cửa hậu Android của nó. StrongPity đã đóng gói lại ứng dụng Telegram chính thức để bao gồm một biến thể mã cửa hậu của nhóm.

Mã độc đó, chức năng, tên lớp và chứng chỉ được sử dụng để ký tệp APK, giống như từ chiến dịch trước đó; do đó, chúng tôi tin chắc rằng hoạt động này thuộc về nhóm StrongPity.

Tại thời điểm nghiên cứu của chúng tôi, mẫu có sẵn trên trang web copycat đã bị vô hiệu hóa do API_ID_PUBLISHED_FLOOD dẫn đến mã độc không được kích hoạt và nạn nhân tiềm năng có thể xóa ứng dụng không hoạt động khỏi thiết bị của họ.

Phân tích mã cho thấy cửa hậu là mô-đun và các mô-đun nhị phân bổ sung được tải xuống từ máy chủ C&C. Điều này có nghĩa là số lượng và loại mô-đun được sử dụng có thể được thay đổi bất kỳ lúc nào để phù hợp với các yêu cầu của chiến dịch khi được vận hành bởi nhóm StrongPity.

Dựa trên phân tích của chúng tôi, đây có vẻ là phiên bản thứ hai của phần mềm độc hại Android của StrongPity; so với phiên bản đầu tiên, nó cũng lạm dụng các dịch vụ trợ năng và truy cập thông báo, lưu trữ dữ liệu đã thu thập trong cơ sở dữ liệu cục bộ, cố gắng thực thi su các lệnh và đối với hầu hết việc thu thập dữ liệu sử dụng các mô-đun đã tải xuống.

IoC

Các tập tin

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 12 của khung MITER ATT & CK.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/