Por Carlos Dorado Italcambio<\/p>\n
ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una campa\u00f1a en curso que se atribuye al grupo de APT StrongPity. Activa desde noviembre de 2021, la campa\u00f1a ha estado distribuyendo una aplicaci\u00f3n maliciosa a trav\u00e9s de un sitio web que se hace pasar por Shagle, un servicio de video chat que ofrece comunicaciones cifradas entre extra\u00f1os. A diferencia del sitio leg\u00edtimo de Shagle cuyo servicio es basado en la web y que no ofrece una aplicaci\u00f3n m\u00f3vil oficial para acceder a sus servicios, el sitio falso solo proporciona una aplicaci\u00f3n para Android para descargar y no es posible utilizar el servicio web.<\/p>\n
Este backdoor de StrongPity tiene varias funciones de espionaje: sus 11 m\u00f3dulos activados din\u00e1micamente permiten grabar llamadas telef\u00f3nicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas, lista de contactos y mucho m\u00e1s. Si la v\u00edctima habilita a la app maliciosa los servicios de accesibilidad, uno de sus m\u00f3dulos tambi\u00e9n tendr\u00e1 acceso a las notificaciones entrantes y podr\u00e1 exfiltrar la comunicaci\u00f3n de 17 aplicaciones, entre ellas Viber, Skype, Gmail, Messenger y Tinder.<\/p>\n
Puntos claves de la investigaci\u00f3n de ESET:<\/strong><\/p>\n \u201cLa aplicaci\u00f3n maliciosa es, de hecho, una versi\u00f3n completamente funcional pero troyana de la aplicaci\u00f3n leg\u00edtima de Telegram. Sin embargo, se presenta como la aplicaci\u00f3n de Shagle, la cual no existe. Nos referiremos a esta app como la falsa aplicaci\u00f3n de Shagle, la aplicaci\u00f3n troyanizada de Telegram o el backdoor de StrongPity. Los productos de ESET detectan esta amenaza como Android\/StrongPity.A.\u201d, <\/em>comenta Camilo Guti\u00e9rrez Amaya de ESET Latinoam\u00e9rica.<\/p>\n Es probable que la campa\u00f1a apunte a un objetivo muy espec\u00edfico y limitado, ya que la telemetr\u00eda de ESET a\u00fan no identifica a ninguna v\u00edctima. Durante la investigaci\u00f3n, la versi\u00f3n analizada del malware disponible en el sitio web falso ya no estaba activa. Por lo tanto, no fue posible instalarlo correctamente y activar su funcionalidad de backdoor porque StrongPity no obtuvo su propia ID de API para la aplicaci\u00f3n troyanizada de Telegram. Pero eso podr\u00eda cambiar en cualquier momento si el atacante decide actualizar la aplicaci\u00f3n maliciosa.<\/p>\n Esta campa\u00f1a del grupo StrongPity se basa en un backdoor para Android que se despliega desde un dominio que contiene la palabra \u201cdutch\u201d. Este sitio web se hace pasar por el servicio leg\u00edtimo llamado Shagle (shagle.com<\/a>). La aplicaci\u00f3n maliciosa se proporciona directamente desde el sitio web que suplanta la identidad y nunca estuvo disponible en la tienda Google Play. Es una versi\u00f3n troyanizada de la aplicaci\u00f3n leg\u00edtima Telegram, presentada como si fuera la aplicaci\u00f3n Shagle, aunque actualmente no existe una aplicaci\u00f3n oficial de Shagle para Android.<\/p>\n Por Carlos Dorado Italcambio<\/em><\/p>\n En el sitio falso, el c\u00f3digo HTML incluye evidencia de que fue copiado del sitio leg\u00edtimo shagle.com<\/a> el 1 de noviembre de 2021, utilizando la herramienta automatizada\u00a0HTTrack<\/a>. El dominio malicioso se registr\u00f3 el mismo d\u00eda, por lo que el sitio falso y la app falsa de Shagle pueden haber estado disponibles para su descarga desde esa fecha.<\/p>\n \u201cLa aplicaci\u00f3n falsa de Shagle se aloj\u00f3 en el sitio web que se hac\u00eda pasar por el sitio oficial de Shagle, desde el cual las v\u00edctimas ten\u00edan que elegir descargar e instalar la aplicaci\u00f3n. No hubo ning\u00fan subterfugio que sugiriera que la aplicaci\u00f3n estaba disponible en Google Play y no sabemos c\u00f3mo las v\u00edctimas potenciales fueron atra\u00eddas o descubrieron el falso sitio web<\/em>\u201d, concluye Guti\u00e9rrez Amaya de ESET.<\/p>\n Para conocer los\u00a0detalles t\u00e9cnicos de esta campa\u00f1a, informaci\u00f3n detallada sobre del conjunto de herramientas utilizado por el grupo, capacidades del backdoor e Indicadores de Compromiso, visite:https:\/\/www.welivesecurity.com\/2023\/01\/10\/strongpity-espionage-campaign-targeting-android-users\/<\/a><\/p>\n Para conocer m\u00e1s sobre seguridad inform\u00e1tica visita el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2023\/01\/10\/campana-espionaje-grupo-strongpity-usuarios-android\/<\/a><\/p>\n Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:<\/p>\n\n