Исследователи ESET выявили активную кампанию StrongPity, распространяющую троянскую версию приложения Telegram для Android, представленную как приложение Shagle - сервис видеочата, не имеющий версии приложения.
- Это первый случай, когда описанные модули и их функциональность были публично задокументированы.
- Для распространения мобильного бэкдора StrongPity используется сайт-подражатель, имитирующий сервис Shagle.
- Приложение представляет собой модифицированную версию приложения Telegram с открытым исходным кодом, перепакованную с кодом бэкдора StrongPity.
- Основываясь на сходстве с предыдущим кодом бэкдора StrongPity и на том, что приложение подписано сертификатом из предыдущей кампании StrongPity, ESET приписывает эту угрозу группе StrongPity APT.
- Бэкдор StrongPity является модульным, где все необходимые бинарные модули шифруются с помощью AES и загружаются с C&C сервера, и имеет различные функции шпионажа.
Indicators of Compromise
IPv4
- 141.255.161.185
- 185.12.46.138
Domains
- intagrefedcircuitchip.com
- networksoftwaresegment.com
SHA1
- 3bfad08b9ac63af5ecf9aa59265ed24d0c76d91e
- 50f79c7dfabecf04522aeb2ac987a800ab5ec6d7
- 5127e75a8faf1a92d5bd0029af21548afa06c1b7
- 5a15f516d5c58b23e19d6a39325b4b5c5590bde0
- 77d6fe30dac41e1c90bdfae3f1cfe7091513fb91
- bd40df3ad0ce0e91acca9488a2fe5feefe6648a0
- d44818c061269930e50868445a3418a0780903fe
- d9a71b13d3061be12ee4905647ddc2f1189f00de
- e46b76cadbd7261fe750dbb9b0a82f262afeb298
- ed02e16f0d57e4ad2d58f95e88356c17d6396658
- f1a14070d5d50d5a9952f9a0b4f7ca7fed2199ee
- f754874a76e3b75a5a5c7fe849ddae318946973b