×
ItalianoEnglish

Grandangolo Communications

  • Home
  • Company
  • Servizi
    • Public Relation
    • Digital PR
    • Marketing
    • Lead Generation
    • Eventi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages
  • Home
  • Customer Press Room
  • Eset
  • ESET ha scoperto una campagna di spionaggio del gruppo APT StrongPity rivolta agli utenti Android

Customer Press Room

ESET ha scoperto una campagna di spionaggio del gruppo APT StrongPity rivolta agli utenti Android

da grandangolo / martedì, 24 Gennaio 2023 / Pubblicato il Eset

Il malware distribuisce una versione funzionante ma affetta da trojan dell’app Telegram spacciandola per l’app mobile di un sito di chat istantanee

ESET, leader globale nel mercato della cybersecurity, ha identificato una campagna attiva del gruppo APT StrongPity che sfrutta una versione completamente funzionante ma contenente trojan dell’app Telegram, facendola passare come app del sito Shagle (una piattaforma di video chat casuali, accessibile unicamente tramite browser), in realtà inesistente. La backdoor ha diverse funzioni di spionaggio: 11 moduli attivati dinamicamente sono responsabili della registrazione delle telefonate, della raccolta di messaggi SMS, della raccolta di elenchi di registri delle chiamate e di elenchi di contatti, e molto altro ancora. Questi moduli sono stati documentati ufficialmente per la prima volta. Se la vittima concede all’app malevola StrongPity l’accesso alle notifiche e ai servizi di accessibilità, l’app avrà accesso anche alle notifiche in arrivo da 17 app tra cui Viber, Skype, Gmail, Messenger e Tinder e sarà in grado di esfiltrare le comunicazioni via chat da altre app. La campagna è probabilmente circoscritta, dato che la telemetria di ESET non ha ancora identificato alcuna vittima.

A differenza del sito Shagle autentico che non prevede un’app mobile ufficiale per accedere ai suoi servizi, il sito fasullo fornisce solo un’app Android da scaricare, senza possibilità di streaming via web. Questa app affetta da trojan non è mai stata resa disponibile sul Google Play Store.

Il codice dannoso, le sue funzionalità, i nomi delle categorie e il certificato utilizzato per firmare il file APK sono identici a quelli della campagna precedente; pertanto ESET ritiene che questa operazione appartenga al gruppo StrongPity. L’analisi del codice ha rivelato che la backdoor è modulare e che i moduli binari aggiuntivi vengono scaricati dal server C&C. Ciò significa che il numero e il tipo di moduli utilizzati possono essere modificati in qualsiasi momento per adattarsi alle richieste della campagna, se gestita dal gruppo StrongPity.

“Durante la nostra indagine, la versione analizzata del malware disponibile sul sito web dell’emulatore non era più attiva e non era più possibile installare e attivare con successo la funzionalità di backdoor. Questo perché StrongPity non ha ottenuto l’ID API per l’app Telegram malevola. Ma la situazione potrebbe cambiare in qualsiasi momento se l’autore della minaccia decidesse di farne un aggiornamento”, afferma Lukáš Štefanko, il ricercatore ESET che ha analizzato l’app.

La versione modificata dell’app di Telegram utilizza lo stesso ID dell’originale. I nomi dei package devono essere ID unici per ogni app Android e devono essere unici su ogni dispositivo. Ciò significa che non viene installata se sul dispositivo è già presente la versione ufficiale. “Questo potrebbe significare o che l’autore della minaccia comunica prima con le potenziali vittime e le spinge a disinstallare Telegram dai dispositivi se è installato, oppure che la campagna si concentra su Paesi in cui l’uso di Telegram è ancora poco diffuso”, aggiunge Štefanko.

L’app di StrongPity avrebbe dovuto funzionare proprio come la versione ufficiale di Telegram, utilizzando API standard ben documentate sul sito web ufficiale, ma oggi non risulta più attiva. Rispetto al primo malware StrongPity scoperto per i dispositivi mobili, questa backdoor ha caratteristiche di spionaggio estese, poiché è in grado di spiare le notifiche in arrivo e di esfiltrare le comunicazioni via chat, se la vittima attiva i servizi di accessibilità.

Per ulteriori informazioni tecniche sull’ultima app StrongPity, consultate il blogpost “StrongPity espionage campaign targeting Android users” su WeLiveSecurity.

Su grandangolo

Che altro puoi leggere

ESET scopre BackdoorDiplomacy, nuovo gruppo APT che attacca i diplomatici in Africa e Medio Oriente
ESET supera a pieni voti il primo test sulle applicazioni di sicurezza Android per gli utenti aziendali
ESET Threat Report: exploit MS Exchange e password-guessing sono le modalità di intrusione più frequenti

Customer Press Room

  • Vertiv presenta l’innovativo Chilled Water Thermal Wall per supportare densità di carico ed efficienza dei grandi data center con pavimento non rialzato in EMEA

    Vertiv™ Libert® CWA è una soluzione di c...
  • ESET ha scoperto la backdoor WinorDLL64, probabile componente del sistema Lazarus

    La zona di diffusione, il comportamento e il co...
  • Talentia Software fa il punto sul business e sottolinea il ruolo dell’Italia come centro di competenza per HCM e CPM

    Talentia Software, azienda leader internazional...
  • Vertiv presenta un’app di realtà aumentata per consentire di esplorare i prodotti in modalità interattiva

    Vertiv™ XR app permette agli utenti di o...
  • ESET inclusa tra i vendor “che hanno caratterizzato l’anno” nella Modern Endpoint Security

    ESET, leader globale nel mercato della cybersec...

Archivi

  • Marzo 2023
  • Febbraio 2023
  • Gennaio 2023
  • Dicembre 2022
  • Novembre 2022
  • Ottobre 2022
  • Settembre 2022
  • Agosto 2022
  • Luglio 2022
  • Giugno 2022
  • Maggio 2022
  • Aprile 2022
  • Marzo 2022
  • Febbraio 2022
  • Gennaio 2022
  • Dicembre 2021
  • Novembre 2021
  • Ottobre 2021
  • Settembre 2021
  • Agosto 2021
  • Luglio 2021
  • Giugno 2021
  • Maggio 2021
  • Aprile 2021
  • Marzo 2021
  • Febbraio 2021
  • Gennaio 2021
  • Dicembre 2020
  • Novembre 2020
  • Ottobre 2020
  • Settembre 2020
  • Agosto 2020
  • Luglio 2020
  • Giugno 2020
  • Maggio 2020
  • Aprile 2020
  • Marzo 2020
  • Febbraio 2020
  • Gennaio 2020
  • Dicembre 2019
  • Novembre 2019
  • Ottobre 2019
  • Settembre 2019
  • Agosto 2019
  • Luglio 2019
  • Giugno 2019
  • Maggio 2019
  • Aprile 2019
  • Marzo 2019
  • Febbraio 2019
  • Gennaio 2019
  • Dicembre 2018

Categorie

  • A10
  • abstract
  • Abstract
  • Ally Consulting
  • Arrow
  • Arrow Electronics
  • Axiante
  • Centro Computer
  • Cohesity
  • Consys
  • Eset
  • G.B. Service
  • Habble
  • HiSolution
  • Icos
  • Information Tecnology
  • Ivanti
  • Link11
  • MobileIron
  • Nexthink
  • Nuvias
  • Praim
  • QAD
  • Qualys
  • Saviynt
  • Sensormatic
  • SentinelOne
  • Talentia Software
  • Vectra
  • Vectra AI
  • Vertiv

Ufficio stampa, digital PR, marketing, lead generation: tutti i progetti nascono dalla nostra passione e competenza, con un tocco immancabile di creatività e innovazione.

COMPANY

Grandangolo Communications Srl
Via Sardegna 19
20146 Milano
Telefono +39 02 477 186 27
info@grandangolo.it

I SERVIZI

  • Home
  • Company
  • Servizi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages

CONTATTI

  • Contatti
  • Cookie policy
  • Privacy policy

© 2019 GRANDANGOLO COMMUNICATIONS SRL | P.IVA IT 06394850967 | All rights reserveD.

Powered by Webpowerplus

TORNA SU