- Регистрация
- 18.01.2023
- Сообщения
- 1 619
- Реакции
- 290
- Депозит
- 𝟎.𝟓 𝐁𝐓𝐂
- Сделок через Гаранта
- 135
Исследователи ESET заявили, что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.
Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.
В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:
Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.
По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.
Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии. Это был первый известный случай использования группировкой Android-вредоносов.
Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.
В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:
- записывать телефонные звонки;
- отслеживать местоположение устройства;
- просматривать SMS-сообщения, журнал вызовов, контакты и файлы;
- собирать входящие сообщения из соцсетей и почтовых клиентов (для этого приложение запрашивает разрешение для доступа к службам специальных возможностей (Accessibility Services);
- загружать дополнительные компоненты с удаленного сервера управления и контроля (C&C).
Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.
По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.
Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии. Это был первый известный случай использования группировкой Android-вредоносов.