# C0033 - PROMETHIUM StrongPity Android (2016-2023) > [!info] C0033 - PROMETHIUM Lanca Primeira Campanha Mobile com StrongPity para Android > **Período:** Maio 2016 - Janeiro 2023 | **Ator:** [[g0056-promethium|PROMETHIUM]] (StrongPity, APT-C-41, nexo Turquia) > **Alvos:** Usuarios Android na Turquia, Siria e globalmente - especialmente comunidade curda > **Técnicas-chave:** Trojanizacao de apps legitimos, watering hole em sites oficiais, exfiltração via HTTPS ## Visão Geral C0033 foi a primeira campanha **mobile** públicamente documentada do [[g0056-promethium|PROMETHIUM]] (também conhecido como StrongPity, APT-C-41 - grupo atribuido a interesses do governo turco) - que anteriormente operava exclusivamente com malware para Windows. A campanha iniciou em maio de 2016 com a distribuição do [[s0491-strongpity|StrongPity]] para Android via watering hole no site oficial do e-Gov sirio, e continuou até janeiro de 2023 com múltiplas variantes e alvos expandidos. O [[s0491-strongpity|StrongPity]] para Android e um spyware modular altamente capaz: grava chamadas telefonicas, coleta SMS, lista de contatos, historial de chamadas, localicacao GPS, lista de aplicativos instalados, arquivos de varios formatos (Word, Excel, PDF, imagens) e informações de rede Wi-Fi. O malware exfiltra dados encriptados com AES para servidores C2 via HTTPS, usando certificados auto-assinados. A técnica de infecção principal e a **trojanizacao de aplicativos legitimos**: o [[g0056-promethium|PROMETHIUM]] reempacota aplicações populares (app e-Gov sirio, Telegram, Firefox, WinRAR, CCleaner, 5kPlayer, etc.) com o spyware embutido e as distribui via sites oficiais comprometidos (watering hole), redireccionamento de ISP (interceptação DPI - técnica documentada na Turk Telekom) ou sites falsos. O usuario instala o que parece ser o app oficial mas recebe versao maliciosa. Em versoes posteriores (StrongPity3 - 2020), o grupo expandiu significativamente o targeting: Colombia, India, Canada e Vietna foram adicionados - sugerindo que o framework pode ser vendido como servico de espionagem para outros governos. ## Attack Flow ```mermaid graph TB A["🌐 Watering Hole<br/>Site oficial e-Gov sirio comprometido<br/>APK trojanizado substituido"] --> B["📱 Instalacao pelo Usuario<br/>Usuario baixa app 'oficial'<br/>sideload habilitado no Android"] B --> C["🔓 Permissoes<br/>App solicita: contatos, armazenamento,<br/>localização, microfone, rede"] C --> D["🎙️ Coleta Continua<br/>Grava chamadas, coleta SMS,<br/>contatos, arquivos, GPS"] D --> E["📦 Preparação Exfiltração<br/>Dados comprimidos e<br/>criptografados com AES"] E --> F["📡 Exfiltração C2<br/>HTTPS para C2 com<br/>certificados auto-assinados"] F --> G["🔄 Atualizacoes Remotas<br/>C2 envia nova configuração<br/>e novos componentes"] ``` ## Timeline da Campanha ```mermaid timeline title C0033 - Evolução do StrongPity Mobile Mai 2016 : Primeiro APK StrongPity Android detectado : Watering hole no site e-Gov sirio (egov.sy) 2017-2018 : ESET documenta StrongPity em campanha Windows : Redireccionamento ISP (Turk Telekom) para apps trojanizados Jun 2020 : Bitdefender publica análise: foco na comunidade curda : Turquia e Siria como alvos principais Jul 2021 : Trend Micro atribui APK sirio ao StrongPity : Confirmacao da primeira campanha mobile documentada Jun 2020 : StrongPity3 detectado pela Cisco Talos : Expansao global: Colombia, India, Canada, Vietna 2021-2022 : ESET publica relatorio sobre StrongPity Android : Versao trojanizada do Telegram identificada Ján 2023 : Ultima atividade documentada da campanha C0033 ``` ## Técnicas Utilizadas (Mobile) | Técnica | ID Mobile | Uso na Campanha | |---------|-----------|-----------------| | Drive-By Compromise | T1456 | Watering hole no site e-Gov sirio (egov[.]sy) com APK trojanizado | | Audio Capture | T1429 | StrongPity gravava chamadas telefonicas em tempo real | | Archive Collected Data | T1532 | Dados exfiltrados comprimidos e cifrados com AES | | Exfiltration Over C2 | T1646 | Exfiltração via HTTPS para C2 com certificados auto-assinados | | File and Directory Discovery | T1420 | Coleta de listas de arquivos no dispositivo da vitima | | Location Tracking | T1430 | Acesso continuo a localização GPS do dispositivo | | Ingress Tool Transfer | T1544 | Recebimento de arquivos do C2 via app pai trojanizado | | Obfuscated Files | T1406 | Código e strings obfuscados para evadir detecção AV | | Software Discovery | T1418 | Lista de aplicativos instalados exfiltrada | | System Info Discovery | T1426 | SIM serial number, IMEI, info do dispositivo | | Network Connections Discovery | T1421 | Informacoes de redes Wi-Fi disponiveis coletadas | ## Software Utilizado - [[s0491-strongpity|StrongPity]] para Android - Spyware modular com capacidades de: gravacao de chamadas, coleta SMS, contatos, arquivos, GPS, lista de apps instalados; criptografia AES para C2; atualização remota via C2 ## Capacidades do StrongPity Android | Capacidade | Descrição | |-----------|-----------| | Gravacao de chamadas | Captura chamadas de entrada e saida em tempo real | | Coleta de SMS | Extrai mensagens SMS do dispositivo | | Contatos e chamadas | Lista completa de contatos e historico de chamadas | | Arquivos | Word, Excel, PDF, imagens, arquivos .DGS (Dagesh Pro) | | GPS | Localização continua do dispositivo | | Apps instalados | Lista de todas as aplicações no dispositivo | | Info SIM/Rede | Número SIM serial, info Wi-Fi disponível | | Persistência | Listeners para BOOT_COMPLETED, BATTERY_LOW, SCREEN_ON, etc. | ## Relevância LATAM/Brasil Embora o targeting principal sejá na regiao turca e do Oriente Medio, ha relevância para o contexto brasileiro: - O [[g0056-promethium|PROMETHIUM]] distribui malware via **trojanizacao de apps populares** - TTP que pode afetar usuarios de qualquer pais que baixe APKs de fontes nao-oficiais. O Brasil tem alta prevalencia de sideloading de APKs de fontes alternativas, especialmente apps financeiros e de entretenimento - A versao StrongPity3 (2020) já foi detectada **na Colombia** - confirmando expansao para LATAM. Se o framework e vendido como servico, outros governos da regiao poderiam usa-lo - Comunidades diaporicas turcas e curdes no Brasil poderiam ser alvos perifericos desta campanha - O padrao de **interceptação de ISP para redireccionamento de downloads** (documentado na Turk Telekom) e teoricamente replicavel por operadoras em qualquer pais ## Mitigacoes Recomendadas - Instalar apps **apenas de lojas oficiais** (Google Play, App Store) - nunca de sites externos ou links em emails - Desabilitar instalacao de fontes desconhecidas em dispositivos Android - Usar solução de Mobile Threat Defense (MTD) para detectar apps maliciosos - Revogar permissoes excessivas de apps que nao precisam de acesso a microfone, GPS ou contatos - Monitorar trafego HTTPS de dispositivos moveis para dominios com certificados auto-assinados ## Referências - [MITRE ATT&CK - C0033](https://attack.mitre.org/campaigns/C0033) - [ESET - StrongPity Espionage Campaign Targeting Android](https://www.welivesecurity.com/) - [Trend Micro - StrongPity APT Group Deploys Android Malware for the First Time](https://www.trendmicro.com/en_us/research/21/g/strongpity-apt-group-deploys-android-malware-for-the-first-time.html) - [Cisco Talos - PROMETHIUM Extends Global Reach with StrongPity3](https://blog.talosintelligence.com/promethium-extends-with-strongpity3/) - [Bitdefender - StrongPity APT Whitepaper](https://www.bitdefender.com/files/News/CaseStudies/study/353/Bitdefender-Whitepaper-StrongPity-APT.pdf)