Компания Eset предупреждает о распространении поддельных приложений Telegram и Signal, целью которых является шпионаж за жертвами. Опасные программы уже скачали тысячи пользователей. Шпионские приложения распространялись через магазины Google Play, Samsung Galaxy Store и специализированные вебсайты. По данным телеметрии, образцы обнаружены на устройствах Android в Украине, в нескольких странах ЕС, США и других странах.
Подробные версии помимо возможностей программ Signal и Telegram обладают еще и добавленным злоумышленниками вредоносным кодом. Шпионские программы получили названия FlyGram и Signal Plus Messenger. Первая распространялась с июля 2020, вторая – с июля 2022 года. При этом Signal Plus Messenger – это первый зафиксированный случай шпионажа по сообщениям пользователей Signal. Позже оба приложения были удалены из Google Play. Эта опасная активность связана с китайской группой APT GREF.
Основной целью вредоносного кода BadBazaar является получение информации об устройстве, списке контактов, журналах вызовов и списке установленных программ, а также осуществление шпионажа по сообщениям Signal путем скрытого соединения программы Signal Plus Messenger с устройством злоумышленника.
После начального запуска приложения пользователь должен войти в Signal Plus Messenger, равно как и в официальном приложении Signal для Android. После входа в систему приложение начинает обмениваться данными со своим командным сервером (C&C). Он может шпионить по сообщениям, несанкционированно используя функцию «Привязанные устройства». Это делается путем автоматического подключения скомпрометированного устройства к устройству злоумышленника.
Этот метод шпионажа уникален, поскольку исследователи Eset ранее не фиксировали использование данной функции злоумышленниками. Также это единственный метод, с помощью которого злоумышленник может получить доступ к содержимому сообщений мессенджера. Исследователи Eset сообщили разработчикам Signal об обнаруженной проблеме.
В случае с фальшивым приложением Telegram, а именно FlyGram, жертва должна войти в систему, как этого требует официальная программа Telegram. Еще до завершения входа FlyGram начинает обмениваться данными с командным сервером и BadBazaar получает возможность перехватывать конфиденциальную информацию с устройства. FlyGram может получить доступ к резервным копиям Telegram, если пользователь включил определенную функцию, добавленную злоумышленниками. Функция была активирована не менее 14 тыс. учетными записями пользователей.
Прокси сервер злоумышленника может регистрировать некоторые метаданные, но он не может расшифровать фактические данные и сообщения, которыми обмениваются в самом Telegram. В отличие от мессенджера Signal Plus, у FlyGram нет возможности связать аккаунт Telegram со злоумышленником или перехватить зашифрованные сообщения его жертв.
В связи с опасностью дальнейшего распространения опасных программ, специалисты рекомендуют загружать программы из официальных магазинов, следить за разрешениями, которые вы предоставляете программам, и установить решения для защиты ваших компьютеров и мобильных устройств от различных угроз.
Источник: https://ko.com.ua/