Οι εφαρμογές Trojanized Signal και Telegram στο Google Play παραδίδονται spyware
Εικόνα: Midjourney
Οι εφαρμογές Trojanized Signal και
Telegram
που περιέχουν το λογισμικό υποκλοπής BadBazaar μεταφορτώθηκαν στο Google Play και στο Samsung Galaxy Store από μια κινεζική ομάδα hacking APT γνωστή ως GREF.
Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε στο παρελθόν για τη στόχευση εθνοτικών μειονοτήτων στην Κίνα, αλλά η τηλεμετρία της ESET δείχνει ότι αυτή τη φορά, οι εισβολείς στοχεύουν χρήστες στην Ουκρανία, την Πολωνία, την Ολλανδία, την Ισπανία, την Πορτογαλία, τη Γερμανία, το Χονγκ Κονγκ και τις Ηνωμένες Πολιτείες.
Οι δυνατότητες του BadBazaar περιλαμβάνουν την παρακολούθηση της ακριβούς τοποθεσίας της συσκευής, την κλοπή αρχείων καταγραφής κλήσεων και SMS, την εγγραφή τηλεφωνικών κλήσεων, τη λήψη φωτογραφιών χρησιμοποιώντας την κάμερα, την εξ
αγωγή
λιστών επαφών και την κλοπή αρχείων ή βάσεων δεδομένων.
Οι trojanized εφαρμογές που περιέχουν κώδικα BadBazaar ανακαλύφθηκαν από τον ερευνητή της ESET, Lukas Stefanko.
Χάρτης θερμότητας θυμάτων
(ESET)
Trojanized εφαρμογές IM
Οι δύο εφαρμογές που χρησιμοποιεί το GREF στην καμπάνια του ονομάζονται «Signal Plus Messenger» και «FlyGram», και οι δύο είναι επιδιορθωμένες εκδόσεις των δημοφιλών εφαρμογών IM ανοιχτού κώδικα Signal και Telegram.
Οι φορείς απειλών δημιούργησαν επίσης ειδικούς ιστότοπους στο “signalplus[.]org” και “flygram[.]org” για να προσθέσετε νομιμότητα στην καμπάνια κακόβουλου λογισμικού, προσφέροντας συνδέσμους για την εγκατάσταση της εφαρμογής από το Google Play ή απευθείας από τον ιστότοπο.
Η ESET αναφέρει ότι το FlyGram στοχεύει ευαίσθητα δεδομένα όπως λίστες επαφών, αρχεία καταγραφής κλήσεων, Λογαριασμοί Google και δεδομένα
WiFi
και προσφέρει επίσης μια επικίνδυνη λειτουργία δημιουργίας αντιγράφων ασφαλείας που στέλνει δεδομένα
επικοινωνία
ς του Telegram σε διακομιστή που ελέγχεται από εισβολείς.
Η ανάλυση των διαθέσιμων δεδομένων δείχνει ότι τουλάχιστον 13.953 χρήστες του FlyGram ενεργοποίησαν αυτήν τη δυνατότητα δημιουργίας αντιγράφων ασφαλείας, αλλά ο συνολικός αριθμός των χρηστών της εφαρμογής spyware είναι απροσδιόριστος.
Ο κλώνος Signal συλλέγει παρόμοιες πληροφορίες, αλλά εστιάζει περισσότερο στην εξαγωγή πληροφοριών για συγκεκριμένα σήματα, όπως οι επικοινωνίες του θύματος και το PIN που προστατεύει τον λογαριασμό του από μη εξουσιοδοτημένη πρόσβαση.
Ωστόσο, η ψεύτικη εφαρμογή Signal περιλαμβάνει μια δυνατότητα που κάνει την επίθεση πιο ενδιαφέρουσα, καθώς επιτρέπει στον εισβολέα να συνδέσει τους λογαριασμούς Signal ενός θύματος με συσκευές που ελέγχονται από τους εισβολείς, ώστε οι εισβολείς να μπορούν να δουν μελλοντικά μηνύματα συνομιλίας.
Το Signal περιλαμβάνει μια λειτουργία που βασίζεται σε κώδικα QR που σας επιτρέπει να συνδέσετε πολλές συσκευές σε έναν μόνο λογαριασμό, ώστε τα μηνύματα συνομιλίας να είναι ορατά από όλες.
Το κακόβουλο Signal Plus Messenger καταχράται αυτή τη δυνατότητα παρακάμπτοντας τη διαδικασία σύνδεσης με κώδικα QR και συνδέοντας αυτόματα τις δικές του συσκευές με τους λογαριασμούς Signal των θυμάτων χωρίς να το γνωρίζει το θύμα. Αυτό επιτρέπει στους εισβολείς να παρακολουθούν όλα τα μελλοντικά μηνύματα που αποστέλλονται από τον λογαριασμό Signal.
“Αυτό επιτρέπει στο κακόβουλο λογισμικό να συνδέει κρυφά το
smartphone
του θύματος με τη συσκευή του εισβολέα, επιτρέποντάς του να κατασκοπεύει τις επικοινωνίες Signal χωρίς να το γνωρίζει το θύμα, όπως φαίνεται στην Εικόνα 12.”
Διάγραμμα κατάχρησης συνδέσμου σήματος
(ESET)
Η ESET λέει ότι αυτή η μέθοδος κατασκοπείας του Signal έχει χρησιμοποιηθεί στο παρελθόν καθώς είναι ο μόνος τρόπος για να αποκτήσετε το περιεχόμενο των μηνυμάτων Signal.
Για να καταλάβετε εάν οι απατεώνες είναι συνδεδεμένες με τον λογαριασμό σας στο Signal, εκκινήστε την πραγματική εφαρμογή Signal, μεταβείτε στις Ρυθμίσεις και πατήστε την επιλογή “Συνδεδεμένες συσκευές” για να προβάλετε και να διαχειριστείτε όλες τις συνδεδεμένες συσκευές.
Το FlyGram ανέβηκε στο Google Play τον Ιούλιο του 2020 και καταργήθηκε στις 6 Ιανουαρίου 2021, έχοντας συγκεντρώσει συνολικά 5.000 εγκαταστάσεις μέσω αυτού του καναλιού.
Εφαρμογή FlyGram στα δύο καταστήματα
(ESET)
Το Signal Plus Messenger ανέβηκε στο Google Play και στο Samsung Galaxy store τον Ιούλιο του 2022 και η Google το αφαίρεσε στις 23 Μαΐου 2023.
Signal Plus Messenger στα δύο καταστήματα
(ESET)
Κατά τη στιγμή που γράφτηκε αυτό, η BleepingComputer το επιβεβαίωσε
και οι δύο εφαρμογές
ήταν
ακόμη διαθέσιμο
στο Samsung Galaxy Store.
Συνιστάται στους χρήστες Android να χρησιμοποιούν τις αρχικές εκδόσεις του Signal και του Telegram και να αποφεύγουν τη λήψη εφαρμογών fork που υπόσχονται βελτιωμένο απόρρητο ή πρόσθετες λειτουργίες, ακόμα κι αν αυτές είναι διαθέσιμες σε επίσημα καταστήματα εφαρμογών.
