Trojanized εφαρμογές Signal και Telegram, που περιέχουν το BadBazaar spyware, είχαν μεταφορτωθεί στο Google Play και στο Samsung Galaxy Store από την κινεζική hacking ομάδα που είναι γνωστή ως GREF.
Αυτό το κακόβουλο λογισμικό έχει χρησιμοποιηθεί στο παρελθόν για να επιτεθεί σε εθνοτικές μειονότητες στην Κίνα. Ωστόσο, σύμφωνα με την ESET, οι επιτιθέμενοι στοχεύουν τώρα χρήστες σε χώρες όπως η Ουκρανία, η Πολωνία, η Ολλανδία, η Ισπανία, η Πορτογαλία, η Γερμανία, το Χονγκ Κονγκ και οι Ηνωμένες Πολιτείες.
Οι δυνατότητες του BadBazaar spyware περιλαμβάνουν την παρακολούθηση της ακριβούς τοποθεσίας της συσκευής, την κλοπή αρχείων καταγραφής κλήσεων και SMS, την καταγραφή τηλεφωνικών κλήσεων, τη λήψη φωτογραφιών από την κάμερα, την κλοπή λιστών επαφών, αρχείων ή βάσεων δεδομένων.
Οι trojanized εφαρμογές που περιέχουν τον κακόβουλο κώδικα BadBazaar ανακαλύφθηκαν από τον ερευνητή της ESET, Lukas Stefanko.
Δείτε επίσης: Paramount Global: Ανακοίνωσε παραβίαση δεδομένων
Trojanized εφαρμογές IM
Οι δύο εφαρμογές της κινεζικής ομάδας ονομάζονται “Signal Plus Messenger” και “FlyGram“, και είναι patched versions των δημοφιλών open-source IM apps Signal και Telegram.
Μάλιστα, οι hackers έχουν δημιουργήσει ειδικούς ιστότοπους στο “signalplus[.]org” και στο “flygram[.]org” για να κάνουν τις εφαρμογές να μοιάζουν πιο νόμιμες. Υπάρχουν διαθέσιμοι και σύνδεσμοι για την εγκατάσταση της εφαρμογής από το Google Play ή απευθείας από τον ιστότοπο.
Η ESET αναφέρει ότι η εφαρμογή FlyGram στοχεύει ευαίσθητα δεδομένα, όπως λίστες επαφών, αρχεία καταγραφής κλήσεων, Λογαριασμούς Google και δεδομένα WiFi. Διαθέτει, επίσης, μια επικίνδυνη λειτουργία δημιουργίας αντιγράφων ασφαλείας που στέλνει δεδομένα επικοινωνίας του Telegram σε διακομιστή που ελέγχεται από εισβολείς.
Η ανάλυση των διαθέσιμων δεδομένων δείχνει ότι τουλάχιστον 13.953 χρήστες του FlyGram ενεργοποίησαν αυτήν τη δυνατότητα backup. Ωστόσο, δεν γνωρίζουμε τον ακριβή αριθμό των χρηστών της spyware εφαρμογής.
Δείτε επίσης: VMware Aria: Ευάλωτο σε κρίσιμη ευπάθεια SSH authentication bypass
Από την άλλη μεριά, ο κλώνος του Signal συλλέγει παρόμοιες πληροφορίες, αλλά εστιάζει περισσότερο στην εξαγωγή πληροφοριών που σχετίζονται με το Signal, όπως οι επικοινωνίες του θύματος και το PIN που προστατεύει τον λογαριασμό του από μη εξουσιοδοτημένη πρόσβαση.
Ωστόσο, η ψεύτικη εφαρμογή Signal περιλαμβάνει μια δυνατότητα που κάνει την επίθεση πιο ενδιαφέρουσα, καθώς επιτρέπει στον εισβολέα να συνδέσει τους λογαριασμούς Signal ενός θύματος με συσκευές που ελέγχονται από τους ίδιους (τους εισβολείς). Έτσι, μπορούν να δουν μελλοντικά μηνύματα.
Το Signal περιλαμβάνει ένα QR-code-based feature που σας επιτρέπει να συνδέσετε πολλές συσκευές σε έναν μόνο λογαριασμό, ώστε τα μηνύματα να είναι ορατά από όλες τις συσκευές.
Το Signal Plus Messenger με το BadBazaar spyware εκμεταλλεύεται αυτή τη δυνατότητα παρακάμπτοντας το QR-code linking process και συνδέοντας αυτόματα τις δικές του συσκευές με τους λογαριασμούς Signal των θυμάτων χωρίς να το γνωρίζει το θύμα. Αυτό επιτρέπει στους εισβολείς να παρακολουθούν όλα τα μελλοντικά μηνύματα που αποστέλλονται από τον λογαριασμό Signal.
Ουσιαστικά το spyware συνδέει κρυφά το smartphone του θύματος με τη συσκευή του εισβολέα, και έτσι ο εισβολέας μπορεί να κατασκοπεύει τις επικοινωνίες Signal χωρίς να το γνωρίζει το θύμα.
Η ESET λέει ότι αυτή η μέθοδος κατασκοπείας του Signal έχει χρησιμοποιηθεί και στο παρελθόν καθώς είναι ο μόνος τρόπος για να αποκτήσει κάποιος το περιεχόμενο των μηνυμάτων.
Για να καταλάβετε εάν κάποιος έχει συνδεθεί στο λογαριασμό σας στο Signal, ανοίξτε την επίσημη εφαρμογή Signal και μεταβείτε στις Ρυθμίσεις. Στη συνέχεια, πατήστε την επιλογή “Linked Devices” για να δείτε και να διαχειριστείτε όλες τις συνδεδεμένες συσκευές.
Δείτε επίσης: Η νέα ομάδα ransomware Ransomed χρησιμοποιεί μια νέα τακτική εκβιασμού
Η spyware εφαρμογή FlyGram ανέβηκε στο Google Play τον Ιούλιο του 2020 και καταργήθηκε στις 6 Ιανουαρίου 2021, έχοντας συγκεντρώσει συνολικά 5.000 εγκαταστάσεις (μέσω αυτού του καναλιού μόνο).
Το Signal Plus Messenger ανέβηκε στο Google Play και στο Samsung Galaxy store τον Ιούλιο του 2022 και η Google το αφαίρεσε στις 23 Μαΐου 2023. Από το Samsung Galaxy Store, αφαιρέθηκε μόλις τώρα.
Συνιστάται στους χρήστες Android να χρησιμοποιούν τις επίσημες εκδόσεις του Signal και του Telegram για να είναι σίγουροι ότι δεν κινδυνεύουν. Η μόλυνση από spyware μπορεί να οδηγήσει σε σοβαρές παραβιάσεις της απορρήτου και της ασφάλειας των χρηστών, γεγονός που καθιστά απαραίτητη την πρόληψη και την έγκαιρη ανίχνευσή τους.
Πηγή: www.bleepingcomputer.com
