¡Atención usuarios de Android! Hay una aplicación de Telegram falsa
Investigadores de ESET, un experto europeo en ciberseguridad, han identificado una campaña activa del grupo ciberdelincuente StrongPity dirigida a los usuarios de Android.
La campaña se basa en una versión completamente funcional pero «troyanizada» de la aplicación legítima Telegram, que aunque no existía, fue renovada por el grupo como la aplicación para el servicio de mensajes de video para adultos Shagle.
La aplicación falsa de Android de Telegram es una puerta trasera del grupo StrongPity
El backdoor del grupo StrongPity tiene varias funciones de ciberespionaje: permite grabar llamadas telefónicas, recopilar mensajes SMS, recopilar registros de llamadas, listas de contactos y mucho más. Si el usuario afectado permite que la aplicación maliciosa acceda a los servicios de notificación y accesibilidad, la aplicación también tiene acceso a las notificaciones recibidas de 17 aplicaciones, incluidas Viber, Skype, Gmail, Messenger y Tinder, pudiendo recopilar comunicaciones de chat de otras aplicaciones. Es probable que la campaña sea demasiado limitada y específica, ya que la telemetría de ESET aún no ha identificado a ninguna víctima.
A diferencia del sitio web de Shagle, que está completamente basado en la web y no tiene una aplicación móvil oficial para acceder a sus servicios, el sitio web falso solo ofrece la posibilidad de descargar una aplicación de Android, sin transmisión a través de la web. Esta aplicación de Telegram "troyanizada" nunca estuvo disponible en la tienda Google Play.
Debido a que el código malicioso, su funcionalidad y otras características de la campaña son las mismas que las de una campaña anterior, ESET cree con un alto nivel de confianza que esta operación pertenece al grupo StrongPity. El análisis del código reveló que la puerta trasera es modular y que se descargan módulos binarios adicionales del servidor de comando y control (C&C).
Esto significa que la cantidad y el tipo de módulos utilizados se pueden cambiar en cualquier momento para adaptarse a los requisitos de la campaña. La versión analizada del malware ya no está activa, pero esto podría cambiar en cualquier momento si el agente malicioso decide actualizar la aplicación.
La versión renovada de Telegram usa el mismo "nombre de paquete" que la aplicación legítima de Telegram. Estos nombres son identificadores supuestamente únicos para cada aplicación de Android y deben ser únicos en cada dispositivo. Esto significa que si la aplicación oficial de Telegram ya está instalada en el dispositivo de una posible víctima, entonces esta versión maliciosa no se puede instalar. Según la investigación de ESET, esto podría significar una de dos cosas:
- (1) o el actor malicioso primero se comunica con las posibles víctimas y las presiona para que desinstalen Telegram de sus dispositivos si está instalado
- (2) o la campaña se centra en países donde el uso de Telegram es raro.
La aplicación maliciosa de StrongPity debería funcionar igual que la versión oficial, utilizando definiciones y protocolos estandarizados que están bien documentados en el sitio web de Telegram, pero ya no funciona. En comparación con el primer malware del grupo descubierto para dispositivos móviles, esta aplicación de StrongPity tiene funciones de espionaje más amplias, como monitorear notificaciones entrantes y recopilar comunicaciones de chat si la víctima lo autoriza a través del acceso de la aplicación a notificaciones y servicios de seguridad.
Para obtener más información técnica sobre la campaña del grupo StrongPity, consulte el artículo completo en WeLiveSecurity. Descubra otras investigaciones exclusivas de ESET que contribuyen a dibujar un panorama preciso de las amenazas cibernéticas más recientes que los usuarios domésticos y comerciales deben conocer en el último informe de amenazas del experto europeo.
