I ricercatori di ESET hanno identificato una nuova campagna di spionaggio effettuata da StrongPity, un gruppo di cybercriminali noto per aver già usato simili tecniche in passato. L’obiettivo è convincere le vittime a scaricare l’app Android di Shagle (che in realtà non esiste) per accedere allo smartphone e installare una backdoor con funzionalità di spyware. Il consiglio è quello di utilizzare una soluzione di sicurezza che rileva e blocca il malware.
Spyware nascosto nell’app fake di Shagle
Shagle è una piattaforma di video chat casuali, accessibile unicamente tramite browser. I cybercriminali hanno creato un sito simile, ma invece del pulsante che permette di avviare una conversazione è presente il pulsante per il download dell’app Android. Non è tuttavia noto come le ignare vittime finiscono sul sito fake (forse dopo aver ricevuto email di phishing o messaggi sui social media).
L’app è in realtà una versione modificata di Telegram 7.5 che utilizza lo stesso ID dell’originale. Ciò significa che, fortunatamente, non viene installata se sullo smartphone è già presente la versione ufficiale. Insieme all’app fasulla viene installata la backdoor che scarica dal server remoto 11 moduli per altrettante funzionalità.
Il malware può registrare le telefonate, leggere gli SMS, ottenere la posizione geografica del dispositivo e raccogliere diverse informazioni, tra cui l’elenco delle app installate e i contatti. I dati vengono successivamente cifrati con l’algoritmo AES e inviati al server remoto.
Sfruttando i servizi di accessibilità di Android (il permesso viene chiesto all’avvio), il malware può leggere le notifiche di altre app, tra cui Facebook Messenger, Viber, Skype, Instagram e ovviamente Telegram. Sui dispositivi “rooted” può eseguire attività ancora più pericolose, come l’accesso al file system, il riavvio e la modifica delle impostazioni di sicurezza.