ESET identifica una campaña de espionaje dirigida a usuarios de Android
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó la distribución de una versión maliciosa de Telegram para Android presentada como una app llamada Shagle, un servicio de video chat que no tiene una versión para móviles y que se le atribuye al grupo de APT StrongPity.
Activa desde noviembre de 2021, la campaña ha estado distribuyendo una aplicación maliciosa a través de un sitio web que se hace pasar por Shagle, un servicio de video chat que ofrece comunicaciones cifradas entre extraños. A diferencia del sitio legítimo de Shagle cuyo servicio está basado en la web y que no ofrece una aplicación móvil oficial para acceder a sus servicios, el sitio falso solo proporciona una aplicación para Android para descargar y no es posible utilizar el servicio web.
Las funciones de espionaje se conforman en base a 11 módulos activados dinámicamente que permiten grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho más. Si la víctima habilita a la app maliciosa los servicios de accesibilidad, uno de sus módulos también tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.
Es probable que la campaña apunte a un objetivo muy específico y limitado, ya que la telemetría de ESET aún no identifica a ninguna víctima. Durante la investigación, la versión analizada del malware disponible en el sitio web falso ya no estaba activa.
Para conocer los detalles técnicos de esta campaña, información detallada sobre del conjunto de herramientas utilizado por el grupo, capacidades del backdoor e Indicadores de compromiso, visite este link.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática.