StrongPity: spionaggio con versione fake di Telegram

StrongPity: spionaggio con versione fake di Telegram

Il gruppo StrongPity ha avviato una campagna di spionaggio con l'app Android di Shagle (inesistente) basata su una versione modificata di Telegram.
StrongPity: spionaggio con versione fake di Telegram
Il gruppo StrongPity ha avviato una campagna di spionaggio con l'app Android di Shagle (inesistente) basata su una versione modificata di Telegram.

I ricercatori di ESET hanno identificato una nuova campagna di spionaggio effettuata da StrongPity, un gruppo di cybercriminali noto per aver già usato simili tecniche in passato. L’obiettivo è convincere le vittime a scaricare l’app Android di Shagle (che in realtà non esiste) per accedere allo smartphone e installare una backdoor con funzionalità di spyware. Il consiglio è quello di utilizzare una soluzione di sicurezza che rileva e blocca il malware.

Spyware nascosto nell’app fake di Shagle

Shagle è una piattaforma di video chat casuali, accessibile unicamente tramite browser. I cybercriminali hanno creato un sito simile, ma invece del pulsante che permette di avviare una conversazione è presente il pulsante per il download dell’app Android. Non è tuttavia noto come le ignare vittime finiscono sul sito fake (forse dopo aver ricevuto email di phishing o messaggi sui social media).

L’app è in realtà una versione modificata di Telegram 7.5 che utilizza lo stesso ID dell’originale. Ciò significa che, fortunatamente, non viene installata se sullo smartphone è già presente la versione ufficiale. Insieme all’app fasulla viene installata la backdoor che scarica dal server remoto 11 moduli per altrettante funzionalità.

Il malware può registrare le telefonate, leggere gli SMS, ottenere la posizione geografica del dispositivo e raccogliere diverse informazioni, tra cui l’elenco delle app installate e i contatti. I dati vengono successivamente cifrati con l’algoritmo AES e inviati al server remoto.

Sfruttando i servizi di accessibilità di Android (il permesso viene chiesto all’avvio), il malware può leggere le notifiche di altre app, tra cui Facebook Messenger, Viber, Skype, Instagram e ovviamente Telegram. Sui dispositivi “rooted” può eseguire attività ancora più pericolose, come l’accesso al file system, il riavvio e la modifica delle impostazioni di sicurezza.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: ESET
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
10 gen 2023
Link copiato negli appunti