اكتشف باحثون في مجال أمن المعلومات أن مجموعة القرصنة (StrongPity APT) تنشر تطبيقًا مزيفًا لخدمة الدردشة (Shagle) ، لكنها في الحقيقة نسخة مستترة من تطبيق المراسلة الفورية Telegram على نظام Android ، بحسب لتقرير البوابة العربية للأخبار التقنية.
يشار إلى أن (Shagle) عبارة عن منصة دردشة فيديو عشوائية تتيح للغرباء التحدث مع بعضهم البعض عبر قناة اتصال مشفرة. النظام الأساسي موجود بالكامل على الويب ، وليس له تطبيق على الأجهزة المحمولة.
اكتشف الباحثون أنه منذ عام 2021 ، استخدمت مجموعة StrongPity موقعًا مزيفًا ينتحل شخصية موقع Shagle الفعلي لخداع الضحايا لتنزيل تطبيق Android ضار.
بمجرد التثبيت ، يمكّن هذا التطبيق المتسللين من التجسس على الضحايا المستهدفين ، بما في ذلك: مراقبة المكالمات الهاتفية ، وجمع الرسائل النصية القصيرة ، والاستيلاء على قوائم جهات الاتصال.
تم إضافة مجموعة StrongPity ، المعروفة أيضًا باسم Promethium أو APT-C-41 ، إلى الحملات السابقة التي نشرت فيها نسخة طروادة من Notepad ++ والإصدارات الضارة من WinRAR و TrueCrypt. من أجل إصابة الأهداف ببرامج ضارة
تم اكتشاف أحدث نشاط لـ APT بواسطة باحثو ESET ، الذين نسبوا الحملة إليها استنادًا إلى أوجه التشابه بين كود التطبيق الحديث وحمولات APT السابقة.
بالإضافة إلى ذلك ، قال الباحثون إن تطبيق Android الخبيث تم توقيعه بنفس الشهادة التي استخدمتها المجموعة للتوقيع على تطبيق ينتحل شخصية تطبيق Android للحكومة الإلكترونية السورية في حملة 2021.
وأوضح الباحثون أن تطبيق Android الخبيث الذي نشرته (StrongPity) هو ملف (APK) باسم (video.apk) وهو تطبيق: (Telegram V7.5.0) ، وتم تعديله لانتحال صفة تطبيق (Shagle). للأجهزة المحمولة ، ويتم نشر التطبيق الخبيث (APK) مباشرة من موقع ويب مزيف (Shagle) ، ولم يتم نشره من خلال متجر تطبيقات Google Play.
تقول ESET إن الموقع الوهمي المستنسخ ظهر لأول مرة على الإنترنت في نوفمبر 2021 ، لذلك من المحتمل أن ملف APK كان قيد النشر النشط منذ ذلك الحين. ومع ذلك ، فإن أول اكتشاف مؤكد للحملة جاء في يوليو 2022.
يشار إلى أن أحد عيوب استخدام تطبيق Telegram كأساس للتطبيق الخبيث الوهمي هو أنه إذا كان هاتف الضحية يحتوي بالفعل على تطبيق Telegram الشرعي ، فلن يتم تثبيت الباب الخلفي على الجهاز.
قال الباحثون إن معرف API المستخدم في العينات التي تم التقاطها مقيد حاليًا بسبب الإفراط في الاستخدام ، لذلك لن يقبل تطبيق Trojan بعد الآن أي تسجيل مستخدم جديد ، لذلك لن يعمل الباب الخلفي ، وتعتقد ESET أن هذا يشير إلى أن StrongPity قد تمكنت بالفعل من الانتشار البرمجيات الخبيثة على أجهزة الضحايا المستهدفين.
عند التثبيت ، تطلب البرامج الضارة الوصول إلى خدمة إمكانية الوصول ثم تقوم بجلب ملف مشفر AES من خادم الأوامر والتحكم الخاص بالمهاجم. ثم يتم استخدام الملف لأداء العديد من الوظائف الضارة ، بما في ذلك تخزين البيانات التي يتم تخزينها وتجميعها في دليل التطبيق ، والتي يتم بعد ذلك تشفيرها وإرسالها مرة أخرى إلى خادم المهاجم.
من خلال إساءة استخدام خدمة إمكانية الوصول ، يمكن للبرامج الضارة قراءة محتوى الإشعارات من تطبيقات مثل: Messenger و Viber و Skype و WeChat و Snapchat و Instagram و Twitter و Gmail ، بالإضافة إلى تطبيقات أخرى.
على الأجهزة التي تم تعديلها للوصول إلى المسؤول ، تمنح البرامج الضارة نفسها تلقائيًا إذنًا لإجراء تغييرات على إعدادات الأمان ، والكتابة إلى أنظمة الملفات ، وإجراء عمليات إعادة التشغيل ، وأداء وظائف خطيرة أخرى.
تنشط مجموعة القرصنة (StrongPity) منذ عام 2012 وعادةً ما تستخدم الأبواب الخلفية على مثبتات البرامج المشروعة ، واستنادًا إلى تقرير ESET ، تستخدم المجموعة نفس التكتيك منذ عشر سنوات حتى الآن.
يجب على مستخدمي Android توخي الحذر عند تنزيل ملفات APK من خارج متجر Google Play ، والاهتمام بطلبات الأذونات أثناء تثبيت التطبيقات الجديدة.
