El grupo StrongPity trae una nueva campaña de espionaje para usuarios Android, mediante una versión que suplanta a la aplicación web de Shagle. La aplicación es un servicio de chat y video chat con comunicaciones cifradas, cabe mencionar que solo fue desarrollada para su uso web. Pero en esta ocasión desarrollaron esta nueva versión desde el código de otra aplicación.
Este grupo creó una puerta trasera en esta versión con varias funciones de espionaje. La aplicación web cuenta con 11 módulos que permiten acceder a diferentes tipos de información y realizan diferentes tareas. Algunas de las acciones que permite realizar son: grabar llamadas, recopilar mensajes SMS, acceder a registros de llamadas, contactos entre otras cosas.
Por lo cual en caso de que el usuario habilite la aplicación estos módulos podrán exfiltrar datos de otras 17 aplicaciones, entre ellas Skype, Gmail, Tinder y Messenger.
Todo esto fue revelado por un estudio realizado por ESET, quienes atribuyen esta campaña al grupo StrongPity debido a las similitudes del código utilizado en una campaña anterior donde utilizaron un certificado firmado por ellos.
Funcionamiento de la aplicación de StrongPity
- Creación de una página de imitación del sitio oficial con opción de descargar la aplicación.
- La aplicación móvil es una versión modificada de Telegram, que se le agrega el código malicioso.
- Los módulos de la aplicación se cifran mediante AES y se descargan en su servidor C&C (Command and control)
El estudio reveló que hasta el momento no existen víctimas de esta aplicación en su versión troyana. Además, la versión que fue testeada no se encontraba habilitada.
Finalmente, aún existe la posibilidad de que este grupo lance una versión actualizada y validada para su funcionamiento. Por lo que te recomendamos estar siempre atento a los enlaces oficiales de las aplicaciones web.
¿Conocías la suplantación de esta aplicación?
