La compañía líder en seguridad informática, ESET, ha identificado una campaña de espionaje dirigida a usuarios de Android. El equipo de investigación de ESET descubrió que el grupo de APT StrongPity estaba distribuyendo una versión maliciosa de Telegram para Android, presentada como una aplicación llamada Shagle, un servicio de videochat que no tiene una versión para móviles.
La campaña, activa desde noviembre de 2021, ha estado llevando a cabo mediante un sitio web falso que se hace pasar por el servicio legítimo de Shagle. La aplicación maliciosa tiene varias funciones de espionaje, como grabar llamadas telefónicas, recopilar mensajes SMS, acceder a la lista de registros de llamadas y contactos, y mucho más. Además, si la víctima habilita los servicios de accesibilidad de la aplicación, uno de sus módulos tendrá acceso a las notificaciones entrantes y podrá exfiltrar la comunicación de 17 aplicaciones, incluyendo Viber, Skype, Gmail, Messenger y Tinder.
ESET atribuye esta amenaza al grupo de APT StrongPity debido a similitudes en el código con el backdoor utilizado en una campaña anterior y porque la aplicación está firmada con un certificado utilizado anteriormente por StrongPity. Además, este es el primer caso documentado públicamente de los módulos y funcionalidad de StrongPity.
La compañía recomienda a los usuarios de Android que sean precavidos al descargar aplicaciones desde fuentes no confiables y que mantengan sus dispositivos actualizados con las últimas actualizaciones de seguridad. Los productos de ESET detectan esta amenaza como Android/StrongPity.A.
Es importante resaltar que los usuarios de Android deben estar alerta ante la posibilidad de descargar aplicaciones maliciosas que se presenten como servicios legítimos, como en este caso de Shagle. Es importante siempre verificar la autenticidad de las aplicaciones antes de descargarlas y mantener siempre actualizado el dispositivo.
