AEMpress
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version

App do Telegram falsa visa utilizadores de Android: grupo StrongPity é o responsável

11/1/2023

 
Fotografia
Os investigadores da ESET, especialista europeia em cibersegurança, identificaram uma campanha ativa do grupo cibercriminoso StrongPity que visa utilizadores de Android. A campanha baseia-se numa versão totalmente funcional, mas “trojanizada”, da app legítima Telegram, que embora inexistente, foi recondicionada pelo grupo como a app do serviço de vídeo-mensagens para adultos Shagle.

A backdoor do grupo StrongPity dispõe de várias características de ciberespionagem: permite a gravação de chamadas telefónicas, recolha de mensagens SMS, recolha de registos de chamadas, listas de contactos e muito mais. Caso o utilizador afetado autorize à app maliciosa acesso a notificação e serviços de acessibilidade, a aplicação também tem acesso a notificações recebidas de 17 apps, incluindo Viber, Skype, Gmail, Messenger e Tinder, sendo capaz de recolher a comunicação de chat de outras aplicações. A campanha é provavelmente muito restrita e direcionada, uma vez que a telemetria da ESET ainda não identificou qualquer vítima.

Ao contrário do site do Shagle, que é inteiramente baseado na web e não dispõe de uma app móvel oficial para aceder aos seus serviços, o site falso apenas oferece a possibilidade de descarregar uma aplicação Android, sem que seja possível o streaming via web. Esta aplicação Telegram “trojanizada” nunca foi disponibilizada a partir da loja Google Play.

Por o código malicioso, a sua funcionalidade e outras características da campanha serem os mesmo que o de uma campanha anterior, a ESET acredita com elevado nível de confiança que esta operação pertence ao grupo StrongPity. A análise do código revelou que o backdoor é modular e que os módulos binários adicionais são descarregados a partir do servidor comand-and-control (C&C). Isto significa que o número e tipo de módulos utilizados podem ser alterados a qualquer altura para se adaptarem aos requisitos da campanha. A versão analisada do malware já não está ativa, mas isso pode mudar a qualquer momento caso o agente malicioso decida atualizar a app.

A versão recondicionada do Telegram usa o mesmo “nome de embalagem” que a app legitima do Telegram. Estes nomes são supostamente identificativos únicos para cada app Android e devem ser únicos em cada dispositivo. Isto significa que se a aplicação oficial do Telegram já estiver instalada no dispositivo de uma potencial vítima, então esta versão maliciosa não pode ser instalada. Segundo a investigação da ESET, isto pode significa uma de duas coisas: (1) ou o agente malicioso comunica primeiro com potenciais vítimas e pressiona-as a desinstalar o Telegram dos seus dispositivos se este estiver instalado, (2) ou a campanha centra-se em países onde o uso do Telegram é raro.

A app maliciosa da StrongPity deveria funcionar tal como a versão oficial, usando definições e protocolos padronizados que estão bem documentadas no website do Telegram, mas já não funciona. Comparado com o primeiro malware do grupo descoberto para dispositivos móveis, esta app do StrongPity tem características de espionagem mais amplas, como a vigia das notificações recebidas e recolha da comunicação por chat caso a vítima assim o autorize pelo acesso da app às notificações e serviços de acessibilidade.

Para mais informação técnica sobre a campanha do grupo StrongPity, consulte o artigo completo no WeLiveSecurity.

Descubra outras investigações exclusivas da ESET que contribuem para desenhar uma paisagem precisa das mais recentes ciberameaças que os utilizadores, quer domésticos, quer empresariais, devem conhecer, no mais recente relatório de ameaças da especialista europeia.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/StrongPity

Os comentários estão fechados.
    Procura imagens de alta resolução? Visite a nossa galeria em fotos.aempress.com

    Marcas e Empresas

    Tudo
    121
    Acer
    AEMpress
    AgfaPhoto
    Angelbird
    AquaTech
    Axpo
    BenQ
    Biliti
    Binance
    Black Rock
    Bowers & Wilkins
    Brennenstuhl
    Camping Car Park
    Casa Da Imprensa
    CobraTether
    Cotton Carrier
    Definitive Technology
    Devolo
    ESET
    Evolution
    Feelworld
    GoodRAM
    Gudsen
    Hama
    Hasselblad
    Hollyland
    HP Instant
    InPost
    Invoxia
    Kevin
    Kodak
    LituFoto
    Lume Cube
    Macrium
    Madoqua
    Marantz
    Masimo
    Mental
    Metz
    Newell
    Open Cosmos
    Peli
    Predator
    Priberam
    QNAP
    Rapoo
    Reflecta
    Robisa
    Rotel
    Rotolight
    Samyang
    SanDisk
    SantaFilm
    Satcab
    SoundUnited
    Sprig
    Tamron
    Thypoch
    TourBox
    Verizon Connect
    WhiteHat
    XEEN
    Xencelabs
    YoloLiv

    Data

    Março 2025
    Fevereiro 2025
    Janeiro 2025
    Dezembro 2024
    Novembro 2024
    Outubro 2024
    Setembro 2024
    Agosto 2024
    Julho 2024
    Junho 2024
    Maio 2024
    Abril 2024
    Março 2024
    Fevereiro 2024
    Janeiro 2024
    Dezembro 2023
    Novembro 2023
    Outubro 2023
    Setembro 2023
    Agosto 2023
    Julho 2023
    Junho 2023
    Maio 2023
    Abril 2023
    Março 2023
    Fevereiro 2023
    Janeiro 2023
    Dezembro 2022
    Novembro 2022
    Outubro 2022
    Setembro 2022
    Agosto 2022
    Julho 2022
    Junho 2022
    Maio 2022
    Abril 2022
    Março 2022
    Fevereiro 2022
    Janeiro 2022
    Dezembro 2021
    Novembro 2021
    Outubro 2021
    Setembro 2021
    Agosto 2021
    Julho 2021
    Junho 2021
    Maio 2021
    Abril 2021
    Março 2021
    Fevereiro 2021
    Janeiro 2021
    Dezembro 2020
    Novembro 2020
    Outubro 2020
    Setembro 2020
    Agosto 2020
    Julho 2020
    Junho 2020
    Maio 2020
    Abril 2020
    Março 2020
    Fevereiro 2020
    Janeiro 2020
    Dezembro 2019
    Novembro 2019
    Outubro 2019
    Setembro 2019
    Agosto 2019
    Julho 2019
    Junho 2019
    Maio 2019
    Abril 2019
    Março 2019
    Fevereiro 2019
    Janeiro 2019
    Novembro 2018
    Outubro 2018

    Feed RSS

Imagem
CONTACTO
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version