Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомЗараженные троянами приложения Signal и Telegram в Google Play доставили шпионское ПО
Зараженные троянами приложения Signal и Telegram, содержащие шпионское ПО BadBazaar, были загружены в Google Play и Samsung Galaxy Store китайской хакерской группой APT, известной как GREF.
Ранее это вредоносное ПО использовалось для нападения на этнические меньшинства в Китае, но телеметрия ESET показывает, что на этот раз злоумышленники нацелены на пользователей в Украине, Польше, Нидерландах, Испании, Португалии, Германии, Гонконге и США.
Возможности BadBazaar включают в себя отслеживание точного местоположения устройства, кражу журналов вызовов и SMS, запись телефонных звонков, фотографирование с помощью камеры, получение списков контактов и кражу файлов или баз данных.
Троянизированные приложения, содержащие код BadBazaar, были обнаружены исследователем ESET Лукасом Стефанко.
Два приложения, которые GREF использовал в своей кампании, называются Signal Plus Messenger и FlyGram. Оба приложения представляют собой исправленные версии популярных IM-приложений с открытым исходным кодом Signal и Telegram.
Злоумышленники также создали специальные веб-сайты «signalplus[.]org» и «flygram[.]org», чтобы придать легитимность кампании по распространению вредоносного ПО, предлагая ссылки для установки приложения из Google Play или непосредственно с сайта.
ESET сообщает, что FlyGram нацелен на конфиденциальные данные, такие как списки контактов, журналы вызовов, учетные записи Google и данные Wi-Fi, а также предлагает опасную функцию резервного копирования, которая отправляет данные связи Telegram на сервер, контролируемый злоумышленниками.
Анализ доступных данных показывает, что как минимум 13 953 пользователя FlyGram включили эту функцию резервного копирования, но общее количество пользователей шпионского приложения не определено.
Клон Signal собирает аналогичную информацию, но больше фокусируется на извлечении специфичной для Signal информации, такой как сообщения жертвы и PIN-код, который защищает ее учетную запись от несанкционированного доступа.
Однако поддельное приложение Signal включает в себя функцию, которая делает атаку более интересной, поскольку позволяет злоумышленнику связать учетные записи Signal жертвы с устройствами, контролируемыми злоумышленниками, чтобы злоумышленники могли видеть будущие сообщения чата.
Signal включает в себя функцию на основе QR-кода, которая позволяет связать несколько устройств с одной учетной записью, чтобы сообщения чата были видны со всех них.
Вредоносный Signal Plus Messenger злоупотребляет этой функцией, обходя процесс привязки QR-кода и автоматически связывая свои собственные устройства с учетными записями Signal жертвы без ведома жертвы. Это позволяет злоумышленникам отслеживать все будущие сообщения, отправленные с учетной записи Signal.
«BadBazaar, вредоносная программа, ответственная за шпионаж, обходит обычный процесс сканирования QR-кода и щелчка пользователя, получая необходимый URI от своего командного сервера и напрямую запуская необходимое действие при нажатии кнопки «Связать устройство», — объясняет ESET.
«Это позволяет вредоносному ПО тайно связывать смартфон жертвы с устройством злоумышленника, позволяя ему шпионить за связью Signal без ведома жертвы, как показано на рисунке 12».
ESET утверждает, что этот метод слежки за Signal использовался раньше, поскольку это единственный способ получить содержимое сообщений Signal.
Чтобы выяснить, связаны ли посторонние устройства с вашей учетной записью Signal, запустите настоящее приложение Signal, перейдите в «Настройки» и коснитесь параметра «Связанные устройства», чтобы просмотреть все подключенные устройства и управлять ими.
FlyGram был загружен в Google Play в июле 2020 года и удален 6 января 2021 года, в общей сложности через этот канал было собрано 5000 установок.
Signal Plus Messenger был загружен в Google Play и магазин Samsung Galaxy в июле 2022 года, а Google удалил его 23 мая 2023 года.
На момент написания статьи BleepingComputer подтвердил, что оба приложения все еще доступны в магазине Samsung Galaxy Store.
Пользователям Android рекомендуется использовать оригинальные версии Signal и Telegram и избегать загрузки форков-приложений, обещающих повышенную конфиденциальность или дополнительные функции, даже если они доступны в официальных магазинах приложений.
Приложения с 1,5 миллионами установок в Google Play отправляют ваши данные в Китай
Новое вредоносное ПО для Android MMRat использует протокол Protobuf для кражи ваших данных