Правительственные хакеры распространяли Android-троян через сирийский госпортал

APT-группа StrongPity, специализирующаяся на кибершпионаже, пополнила свой хакерский арсенал вредоносным ПО для Android, который в недавней кампании распространяла через электронный портал правительства Сирии. Это первый известный случай использования группировкой Android-вредоносов.

По данным специалистов компании Trend Micro, злоумышленники скомпрометировали правительственный сайт и заменили легитимное приложение вредоносной версией, способной похищать списки контактов и файлы с определенным расширением с устройства жертвы, в частности, документы Word и Excel, PDF-файлы, изображения, ключи безопасности и файлы, сохраненные с помощью Dagesh Pro Word Processor (.DGS). Вся эта информация отправляется на управляющий сервер.

Троянизированная версия запрашивает дополнительные разрешения на телефоне, в том числе возможность просматривать контакты, осуществлять запись во внешнее хранилище, поддерживать устройство в активном состоянии, получать доступ к информации о геоположении, сотовой и Wi-Fi-сетях и даже автоматически запускаться после загрузки системы.

Кроме того, приложение может осуществлять продолжительные по времени задачи в фоновом режиме и инициировать запросы к управляющему серверу, который в ответ отправляет зашифрованную полезную нагрузку, содержащую файл с настройками, позволяющими «вредоносной программе менять поведение в соответствии с конфигурацией».

StrongPity, также известная как Promethium, осуществляет атаки с 2012 года и в основном сконцентрирована на объектах в Турции и Сирии.