1 měsíc starý
54
Softwarová společnost Eset upozorňuje na zranitelnost, která může potenciálně napadnout smartphony s Androidem. Uživatelům videochatu pro dospělé ve službě Shagle je podstrčena falešná aplikace Telegram, která obsahuje trojského koně. Za útokem podle Esetu stojí hackeři ze skupiny StrongPity. Útoky jsou obvykle cílené na konkrétní uživatele za účelem kybernetické špionáže, získání osobních dat, přístupových údajů a komunikace z messengerů.
Útok využívající zadní vrátka systému funguje modulárně a má řadu špionážních funkcí. Pokud oběť udělí škodlivé aplikaci přístup k oznámením a službám přístupnosti, malware je schopen získat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření trojanizované aplikace pak skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé. V Česku tato útočná kampaň zatím není detekována, Eset ale situaci prventivně monitoruje.
Jako nástroj přístupu do systému slouží plně funkční trojanizovaná verze legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, kterou lze stáhnout z falešné stránky napodobující web Shagle. Backdoor (tzv. zadní vrátka) má různé špionážní funkce: 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat.
Ochranou je pravý Telegram
Na rozdíl od pravé webové stránky Shagle, která nemá svoji vlastní aplikaci, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy nahraná do marketu Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci. Jediná možnost instalace je mimo market, stažením a rozbalení APK souboru.
Analýza kódu také odhalila, že backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu.
Srovnání legitimní (vlevo) a falešné (vpravo) stránky Shagle. Falešná stránka vybízí k instalaci aplikace, která se tváří jako Telegram. Je ovšem potřeba ji stáhnout a nainstalovat přes APK soubor. To by mělo většinu uživatelů odradit.
„Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti Eset.
Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat.
Zdroj: Eset
