Οι ερευνητές της ESET εντόπισαν μια νέα περίπτωση κατασκοπείας από την StrongPity, μια ομάδα hackers που είναι γνωστό ότι έχει χρησιμοποιήσει παρόμοιες τεχνικές στο παρελθόν. Ο στόχος είναι να πειστούν τα θύματα να κατεβάσουν την εφαρμογή Shagle Android (η οποία στην πραγματικότητα δεν υπάρχει) για να αποκτήσουν πρόσβαση στο smartphone τους και να εγκαταστήσουν ένα backdoor με λειτουργίες spyware. Η συμβουλή είναι να χρησιμοποιείτε μια λύση ασφαλείας που ανιχνεύει και αποκλείει το κακόβουλο λογισμικό.
Το Shagle είναι μια τυχαία πλατφόρμα συνομιλίας μέσω βίντεο, στην οποία η πρόσβαση είναι δυνατή μόνο μέσω ενός προγράμματος περιήγησης. Οι hackers δημιούργησαν έναν παρόμοιο ιστότοπο, αλλά αντί για ένα κουμπί για να ξεκινήσετε μια συζήτηση, υπάρχει ένα κουμπί για να κατεβάσετε την εφαρμογή Android. Ωστόσο, δεν είναι γνωστό πώς τα ανυποψίαστα θύματα καταλήγουν στον ψεύτικο ιστότοπο (ίσως αφού λάβουν email ή μηνύματα στα μέσα κοινωνικής δικτύωσης).
Η εφαρμογή είναι στην πραγματικότητα μια τροποποιημένη έκδοση του Telegram 7.5 που χρησιμοποιεί το ίδιο αναγνωριστικό με το αρχικό. Αυτό σημαίνει ότι, ευτυχώς, δεν εγκαθίσταται εάν η επίσημη έκδοση υπάρχει ήδη στο smartphone. Μαζί με την ψεύτικη εφαρμογή, εγκαθίσταται και το backdoor.
Το κακόβουλο λογισμικό μπορεί να καταγράφει τηλεφωνικές κλήσεις, να διαβάζει μηνύματα SMS, να λαμβάνει τη γεωγραφική θέση της συσκευής και να συλλέγει διάφορες πληροφορίες, όπως τη λίστα των εγκατεστημένων εφαρμογών και επαφών. Στη συνέχεια, τα δεδομένα κρυπτογραφούνται με τον αλγόριθμο AES και αποστέλλονται στον απομακρυσμένο διακομιστή.
Εκμεταλλευόμενο τις υπηρεσίες προσβασιμότητας του Android (η άδεια ζητείται κατά την εκκίνηση), το κακόβουλο λογισμικό μπορεί να διαβάζει ειδοποιήσεις από άλλες εφαρμογές, όπως το Facebook Messenger, το Viber, το Skype, το Instagram και φυσικά το Telegram. Σε συσκευές με δικαιώματα root, μπορεί να εκτελέσει ακόμη πιο επικίνδυνες δραστηριότητες, όπως πρόσβαση στο σύστημα αρχείων, επανεκκίνηση και αλλαγή των ρυθμίσεων ασφαλείας.
