Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   В сети распространяется заражённая версия Telegram для шпионажа за пользователями Android (http://txgate.io:443/showthread.php?t=10818)

Artifact 02-06-2025 06:12 PM

Заминированный самолётик берёт на себя полный контроль над устройством.
https://www.securitylab.ru/upload/ib...w1u1lzjdvp.png
Исследователи ESET заявили , что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.
Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.
В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:<ul><li>записывать телефонные звонки;</li>
</ul><ul><li>отслеживать местоположение устройства;</li>
</ul><ul><li>просматривать SMS-сообщения, журнал вызовов, контакты и файлы;</li>
</ul><ul><li>собирать входящие сообщения из соцсетей и почтовых клиентов (для этого приложение запрашивает разрешение для доступа к службам специальных возможностей (Accessibility Services);</li>
</ul><ul><li>загружать дополнительные компоненты с удаленного сервера управления и контроля (C&amp;C).</li>
</ul>https://www.securitylab.ru/upload/me...i2d30udqf1.png
Запрашиваемые разрешения вредоносного приложения
Зараженная версия Telegram была доступна для загрузки 25 февраля 2022 года. В этот же день был зарегистрирован вредоносный домен. На данный момент поддельный веб-сайт Shagle не активен, но есть признаки того, что эта активность является узконаправленной из-за отсутствия данных телеметрии.
https://www.securitylab.ru/upload/me...hbz00c0tj6.png
Легитимный сайт Shagle (слева) и его фишинговая копия (справа)
Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.
По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.
Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии . Это был первый известный случай использования группировкой Android-вредоносов.


All times are GMT. The time now is 11:48 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.