В сети распространяется заражённая версия Telegram для шпионажа за пользователями Android

Исследователи ESET заявили , что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.

Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.

В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:

• записывать телефонные звонки;
• отслеживать местоположение устройства;
• просматривать SMS-сообщения, журнал вызовов, контакты и файлы;
• собирать входящие сообщения из соцсетей и почтовых клиентов (для этого приложение запрашивает разрешение для доступа к службам специальных возможностей (Accessibility Services);
• загружать дополнительные компоненты с удаленного сервера управления и контроля (C&C).

Запрашиваемые разрешения вредоносного приложения

Зараженная версия Telegram была доступна для загрузки 25 февраля 2022 года. В этот же день был зарегистрирован вредоносный домен. На данный момент поддельный веб-сайт Shagle не активен, но есть признаки того, что эта активность является узконаправленной из-за отсутствия данных телеметрии.

Легитимный сайт Shagle (слева) и его фишинговая копия (справа)

Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.

По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.

Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии . Это был первый известный случай использования группировкой Android-вредоносов.