?名為StrongPity的高級(jí)持續(xù)性攻擊 (APT) 組織通過(guò)一個(gè)冒充名為Shagle的視頻聊天服務(wù)的虛假網(wǎng)站，以木馬化版本的 Telegram 應(yīng)用程序瞄準(zhǔn) Android 用戶(hù)。

“一個(gè)模仿 Shagle 服務(wù)的山寨網(wǎng)站被用來(lái)分發(fā) StrongPity 的移動(dòng)后門(mén)應(yīng)用程序，”ESET 惡意軟件研究員 Luká? ?tefanko在一份技術(shù)報(bào)告中說(shuō)?！霸搼?yīng)用程序是開(kāi)源 Telegram 應(yīng)用程序的修改版本，使用 StrongPity 后門(mén)代碼重新打包?！?/p>

StrongPity，也被稱(chēng)為 APT-C-41 和 Promethium，是一個(gè)從 2012 年開(kāi)始活躍的網(wǎng)絡(luò)間諜組織，其大部分行動(dòng)集中在敘利亞和土耳其?？ò退够?2016 年 10 月首次公開(kāi)報(bào)告了該組織的存在。

此后，該組織的活動(dòng)范圍擴(kuò)大到涵蓋非洲、亞洲、歐洲和北美的更多目標(biāo)，入侵利用水坑攻擊和網(wǎng)絡(luò)釣魚(yú)來(lái)激活殺傷鏈。

StrongPity 的主要特征之一是它使用假冒網(wǎng)站，這些網(wǎng)站聲稱(chēng)提供各種軟件工具，只是為了誘騙受害者下載受感染的應(yīng)用程序版本。

2021 年 12 月，Minerva Labs披露了一個(gè)三階段攻擊序列，該序列源于看似良性的 Notepad++ 安裝文件，安裝后將后門(mén)上傳到受感染的主機(jī)上。

同年，專(zhuān)家觀(guān)察到StrongPity 首次部署了一款 Android 惡意軟件，它能夠入侵?jǐn)⒗麃嗠娮诱T(mén)戶(hù)網(wǎng)站并將官方 Android APK 文件替換為流氓文件。

ESET 的最新發(fā)現(xiàn)突出了一種類(lèi)似的作案手法，該作案手法旨在分發(fā)更新版本的 Android 后門(mén)有效荷載，該后門(mén)有效荷載能夠記錄電話(huà)呼叫、跟蹤設(shè)備位置并收集 SMS 消息、通話(huà)記錄、聯(lián)系人列表和文件。

此外，授權(quán)惡意軟件可訪(fǎng)問(wèn)權(quán)限使其能夠從各種應(yīng)用程序（如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信）中竊取信息。

此次后門(mén)功能隱藏在 2022 年 2 月 25 日左右可供下載的合法版本的 Telegram Android 應(yīng)用程序中。也就是說(shuō)，虛假的 Shagle 網(wǎng)站目前不再活躍。

也沒(méi)有證據(jù)表明該應(yīng)用程序已在官方 Google Play 商店中發(fā)布。目前尚不清楚潛在受害者是如何被引誘到假冒網(wǎng)站的。

?tefanko 指出：“惡意域名是在同一天注冊(cè)的，因此山寨網(wǎng)站和假冒的 Shagle 應(yīng)用程序可能從那天起就可以下載了。”

攻擊的另一個(gè)值得注意的方面是 Telegram 的篡改版本使用與正版 Telegram 應(yīng)用程序包名稱(chēng)相同，這意味著后門(mén)變體無(wú)法安裝在已經(jīng)安裝 Telegram 的設(shè)備上。

?tefanko 說(shuō)：“這可能意味攻擊者首先誘導(dǎo)受害者，并迫使他們從設(shè)備上卸載 Telegram（如果安裝了 Telegram），或者該活動(dòng)的重點(diǎn)是很少使用 Telegram 進(jìn)行通信的國(guó)家?！?/p>

參考來(lái)源：https://thehackernews.com/2023/01/strongpity-hackers-distribute.html