Un actor de amenazas persistentes avanzadas (APT) ha sido rastreado en una nueva campaña que despliega malware para Android a través del portal web del gobierno electrónico sirio, lo que indica un arsenal actualizado diseñado para comprometer a las víctimas.
“Hasta donde sabemos, es la primera vez que se observa públicamente que el grupo utiliza aplicaciones maliciosas para Android como parte de sus ataques”, afirman los investigadores de Trend Micro Zhengyu Dong, Fyodor Yarochkin y Steven Du en un informe técnico publicado el miércoles.
Se cree que StrongPity, también llamado Promethium por Microsoft, ha estado activo desde 2012 y se ha centrado normalmente en objetivos en Turquía y Siria. En junio de 2020, el actor de amenazas de espionaje fue conectado a una ola de actividades que se basaban en ataques de watering hole e instaladores manipulados, que abusan de la popularidad de las aplicaciones legítimas, para infectar objetivos con malware.
“Promethium ha sido resistente a lo largo de los años”, reveló Cisco Talos, en 2020. “Sus campañas han sido expuestas en varias ocasiones, pero eso no ha sido suficiente para que los actores que están detrás las detengan. El hecho de que el grupo no se abstenga de lanzar nuevas campañas incluso después de haber sido expuesto demuestra su determinación para cumplir su misión.”
La última operación no es diferente, ya que subraya la propensión del actor de la amenaza a reempaquetar aplicaciones benignas en variantes troyanizadas para facilitar los ataques.
El malware, que se hace pasar por la aplicación siria e-Gov para Android, habría sido creado en mayo de 2021, con el archivo de manifiesto de la aplicación (“AndroidManifest.xml”) modificado para solicitar explícitamente permisos adicionales en el teléfono, incluyendo la capacidad de leer los contactos, escribir en el almacenamiento externo, mantener el dispositivo despierto, acceder a la información sobre las redes celulares y Wi-Fi, la ubicación precisa, e incluso permitir que la aplicación se inicie por sí misma tan pronto como el sistema haya terminado de arrancar.
Además, la aplicación maliciosa está diseñada para realizar tareas de larga duración en segundo plano y lanzar una solicitud a un servidor de comando y control (C2) remoto, que responde con una carga útil cifrada que contiene un archivo de configuración que permite al “malware cambiar su comportamiento de acuerdo con la configuración” y actualizar su dirección de servidor C2.
Por último, pero no menos importante, el implante “altamente modular” tiene la capacidad de acaparar datos almacenados en el dispositivo infectado, como contactos, documentos de Word y Excel, PDFs, imágenes, claves de seguridad y archivos guardados con el procesador de textos Dagesh Pro (.DGS), entre otros, todos los cuales son exfiltrados de vuelta al servidor C2.
A pesar de que no se conocen informes públicos de que StrongPity utilice aplicaciones maliciosas de Android en sus ataques, la atribución de Trend Micro al adversario proviene del uso de un servidor C2 que se ha utilizado previamente en intrusiones vinculadas al grupo de hackers, en particular una campaña de malware documentada por Alien Labs de AT&T en julio de 2019 que aprovechó versiones contaminadas del software de gestión de routers WinBox, WinRAR y otras utilidades de confianza para vulnerar objetivos.