- Hackerská skupina využívá falešnou stránku služby Shagle
- Skrze ní si mohou uživatelé nainstalovat funkční aplikaci Telegram, která je ovšem může sledovat
- V Česku se prozatím hrozba nešíří, přesto je potřeba mít se na pozoru
Internetem se šíří nová hrozba, za kterou stojí hackerská skupina StrongPity. Distribuce probíhá pomocí plně funkční, ale trojanizované aplikace Telegram, tudíž je pro uživatele obtížně odhalitelná. Pokud jí oběť udělí přístup k oznámením a službám přístupnosti, malware je schopen také exfiltrovat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé.
V Česku tato útočná kampaň naštěstí není aktuálně detekována, ale bezpečnostní experti společnosti Eset situaci monitorují. „Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti Eset.
Zadní vrátka, která skupina v kampani využívá, mají různé špionážní funkce: 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory i shromažďovat SMS zprávy a seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat. Na rozdíl od pravé webové stránky Shagle, která nemá oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek ke stažení falešnou aplikaci Telegram a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v Obchodě Google Play, pravděpodobně aby se útočníci vyhnuli detekci.
Kompromitovaná aplikace Telegramu používá stejný název softwarového balíku jako legitimní verze. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat. „To může znamenat dvě věci – buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné,“ uzavírá Jirkal z Esetu.
