- Une seule autre campagne Android a été précédemment attribuée à StrongPity.
- C'est la première fois que les modules décrits et leurs fonctionnalités sont documentés publiquement.
- Un site Web imitant le service Shagle, est utilisé pour distribuer l'application mobile de porte dérobée de StrongPity.
- L'application est une version modifiée de l'application open-source Telegram, recompilée avec le code de la porte dérobée StrongPity.
- Sur la base des similitudes avec le code de la porte dérobée StrongPity précédent et l'application signée avec un certificat d'une campagne StrongPity antérieure, nous attribuons cette menace au groupe StrongPity APT.
- La porte dérobée de StrongPity est modulaire, où tous les modules binaires nécessaires sont chiffrés à l'aide d'AES et téléchargés à partir de son serveur C&C, et dispose de diverses fonctionnalités d'espionnage.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont identifié une campagne StrongPity active distribuant une version “trojanisée” de l'application Android Telegram. Active depuis novembre 2021, la campagne a distribué une application malveillante via un site Web se faisant passer pour Shagle – un service de chat vidéo aléatoire qui fournit des communications chiffrées entre inconnus. Contrairement au site Shagle authentique entièrement disponible sur le Web et qui n'offre pas d'application mobile officielle, le copie du site ne fournit qu'une application Android à télécharger et aucun streaming sur le Web n'est possible.
Cette porte dérobée StrongPity possède diverses fonctionnalités d'espionnage : ses 11 modules déclenchés dynamiquement sont responsables de l'enregistrement des appels téléphoniques, de la collecte des messages SMS, des listes des journaux d'appels, des listes de contacts, et bien plus encore. Ces modules sont documentés pour la toute première fois. Si la victime accorde les services d'accessibilité de l'application malveillante StrongPity, l'un de ses modules aura également accès aux notifications entrantes et pourra exfiltrer les communications de 17 applications telles que Viber, Skype, Gmail, Messenger ainsi que Tinder.
Pour plus d’informations techniques sur l’attaque du groupe StrongPity, consultez l’article « StrongPity espionage campaign targeting Android users » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Crédit photo : MART PRODUCTION
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.