Nebezpečná APT skupina, známa ako StrongPity, skúsila útok na používateľov Android zariadení. Urobili tak prostredníctvom falošnej stránky vydávajúcej sa za video chat stránku Shagle, kam umiestnili napadnutú verziu aplikácie Telegram, informuje Thehackernews.
Lukáš Štefanko, malvérový výskumník pre spoločnosť ESET, informoval, že falošná stránka imitujúca Shagle, bola použitá na distribúciu napadnutej aplikácie Telegram. Išlo prakticky o identickú aplikáciu, ktorá v sebe ukrývala škodlivý kód.
StrongPity (známa aj ako APT-C-41 alebo Promethium) je skupina, ktorá funguje minimálne od roku 2012 a väčšina jej činností je zameraná na Sýriu a Turecko. Prvýkrát bola skupina verejne odhalená až v októbri 2016. Odvtedy je známe rozšírenie pôsobnosti skupiny aj na trhy Afriky, Európy, Ázie a Severnej Ameriky.
Hlavným predmetom činnosti skupiny je donútiť používateľov používať falošné webstránky, na ktorých si môžu stiahnuť širokú škálu napadnutých programov. V roku 2021 sa tiež nebúrala na oficiálny portál elektronickej verejnej správy v Sýrii, kde vymenili súbor Android aplikácie za malvérom napadnutý variant.
Slovenská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou opísala implantát Telegramu ako modulárny a schopný sťahovať ďalšie komponenty zo servera. Backdoor funkcia bola ukrytá v oficiálnej verzii aplikácie Telegram pre Android, ktorú si používatelia mohli stiahnuť okolo 25. februára 2022. Falošná Shagle stránka už dnes nie je aktívna, no hovorí sa, že tomu nemusí byť úplne tak a môže sa časom znova spustiť.
Aplikácia stiahnutá z obchodu Google Play by mala byť bezpečná
Neexistujú zatiaľ žiadne oficiálne informácie, ktoré by hovorili o tom, že by sa napadnutá verzia aplikácie dostala aj do Obchodu Play. Tiež nie je známe, akým spôsobom sa poškodení dostávali na falošnú Shagle stránku. Hovorí sa však o využívaní výsledkov vyhľadávania (napr. Google), či prostredníctvom falošných reklám.
Napadnutá verzia Telegramu používala rovnaké meno ako oficiálna verzia. To znamená, že ak už používatelia mali nainštalovaný Telegram, zariadenie ich muselo upozorniť, že daná aplikácia sa už v zariadení nachádza. To môže znamenať dve veci. Jednou je, že bolo komunikované s obeťami, ktoré si majú vopred starú verziu odinštalovať. Druhou možnosťou je, že bola kampaň zameraná na krajiny, kde je používanie Telegramu skôr raritou.
