Ein APT-Akteur (Advanced Persistent Threat) wurde in einer neuen Kampagne aufgespürt, in der Android-Malware über das syrische E-Government-Webportal verbreitet wird. Dies deutet auf ein erweitertes Arsenal hin, mit dem Opfer kompromittiert werden sollen.
„Nach unserem Kenntnisstand ist dies das erste Mal, dass die Gruppe öffentlich beobachtet wurde, wie sie bösartige Android-Anwendungen als Teil ihrer Angriffe einsetzt“, so die Trend Micro Forscher Zhengyu Dong, Fyodor Yarochkin und Steven Du in einem am Mittwoch veröffentlichten technischen Bericht.
StrongPity, das von Microsoft auch unter dem Codenamen Promethium geführt wird, ist vermutlich seit 2002 aktiv und hat sich in der Regel auf Ziele in der Türkei und Syrien konzentriert. Im Juni 2020 wurde der Spionage-Bedrohungsakteur mit einer Welle von Aktivitäten in Verbindung gebracht, die auf Watering-Hole-Angriffe und manipulierte Installationsprogramme setzten, die die Popularität legitimer Anwendungen missbrauchen, um Ziele mit Malware zu infizieren.
„Promethium hat sich im Laufe der Jahre als widerstandsfähig erwiesen“, enthüllte Cisco Talos letztes Jahr. „Seine Kampagnen wurden mehrmals aufgedeckt, aber das war nicht genug, um die Akteure dahinter zum Aufhören zu bewegen. Die Tatsache, dass die Gruppe auch nach ihrer Enttarnung nicht davon ablässt, neue Kampagnen zu starten, zeigt ihre Entschlossenheit, ihre Mission zu erfüllen.“
Die jüngste Operation ist insofern nicht anders, als sie die Neigung der Bedrohungsakteure unterstreicht, gutartige Anwendungen in trojanisierte Varianten umzupacken, um die Angriffe zu erleichtern.
Die Malware, die sich als syrische e-Gov Android-Anwendung tarnt, soll im Mai 2021 erstellt worden sein, wobei die Manifestdatei der App („AndroidManifest.xml“) so modifiziert wurde, dass sie explizit zusätzliche Berechtigungen auf dem Telefon anfordert, einschließlich der Möglichkeit, Kontakte zu lesen, in den externen Speicher zu schreiben, das Gerät wach zu halten, auf Informationen über Mobilfunk- und Wi-Fi-Netzwerke sowie den genauen Standort zuzugreifen und der App sogar zu erlauben, sich selbst zu starten, sobald das System gebootet hat.
Darüber hinaus ist die bösartige App so konzipiert, dass sie lang laufende Aufgaben im Hintergrund ausführt und eine Anfrage an einen entfernten Command-and-Control (C2)-Server auslöst, der mit einer verschlüsselten Nutzlast antwortet, die eine Einstellungsdatei enthält, die es der „Malware ermöglicht, ihr Verhalten entsprechend der Konfiguration zu ändern“ und ihre C2-Server-Adresse zu aktualisieren.
Zu guter Letzt ist das „hochmodulare“ Implantat in der Lage, auf dem infizierten Gerät gespeicherte Daten abzusaugen, wie z. B. Kontakte, Word- und Excel-Dokumente, PDFs, Bilder, Sicherheitsschlüssel und mit dem Dagesh Pro Word Processor (.DGS) gespeicherte Dateien, die alle zurück zum C2-Server exfiltriert werden.
Obwohl keine öffentlichen Berichte darüber bekannt sind, dass StrongPity bei seinen Angriffen bösartige Android-Anwendungen einsetzt, führt Trend Micro die Zuordnung zu dem Gegner auf die Verwendung eines C2-Servers zurück, der zuvor bei Angriffen verwendet wurde, die mit der Hackergruppe in Verbindung gebracht wurden, insbesondere bei einer Malware-Kampagne, die von AT&T’s Alien Labs im Juli 2019 dokumentiert wurde und bei der verdorbene Versionen der Router-Verwaltungssoftware WinBox, WinRAR und andere vertrauenswürdige Dienstprogramme verwendet wurden, um in Ziele einzudringen.
„Wir gehen davon aus, dass der Bedrohungsakteur mehrere Wege erkundet, um die Anwendungen an potenzielle Opfer zu liefern, wie z. B. die Verwendung von gefälschten Apps und die Nutzung von kompromittierten Websites als Einfallstor, um Benutzer zur Installation von schädlichen Anwendungen zu verleiten“, so die Forscher.
„Typischerweise fordern diese Websites ihre Benutzer auf, die Anwendungen direkt auf ihre Geräte herunterzuladen. Um dies zu tun, müssen die Benutzer die Installation von Anwendungen aus „unbekannten Quellen“ auf ihren Geräten aktivieren. Dies umgeht die ‚Vertrauenskette‘ des Android-Ökosystems und erleichtert es einem Angreifer, zusätzliche bösartige Komponenten einzuschleusen“, heißt es weiter.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Reduzieren Sie die Frustration der Endbenutzer bei der Passwortänderung