Компанія Eset попереджає про поширення підробних додатків Telegram і Signal, ціллю яких є шпигунство за жертвами. Небезпечні програми вже завантажили тисячі користувачів. Шпигунські додатки поширювалися через магазини Google Play, Samsung Galaxy Store і спеціалізовані вебсайти. За даними телеметрії, зразки виявлені на пристроях Android в Україні, кількох країнах ЄС, США та інших країнах.
Підробні версії окрім можливостей програм Signal і Telegram мають ще й доданий зловмисниками шкідливий код. Шпигунські програми отримали назви FlyGram і Signal Plus Messenger. Перша поширювалася з липня 2020 року, друга – з липня 2022 року. При цьому, Signal Plus Messenger – це перший зафіксований випадок шпигунства за повідомленнями користувачів Signal. Пізніше обидва додатки було видалено з Google Play. Ця небезпечна активність пов’язана з китайською APT-групою GREF.
Основною ціллю шкідливого коду BadBazaar є отримання інформації про пристрій, список контактів, журнали викликів і список встановлених програм, а також здійснення шпигунства за повідомленнями Signal шляхом прихованого з’єднання програми Signal Plus Messenger з пристроєм зловмисника.
Після початкового запуску програми користувач має увійти в Signal Plus Messenger, так само як і в офіційній програмі Signal для Android. Після входу в систему додаток починає обмінюватися даними зі своїм командним сервером (C&C). Він може шпигувати за повідомленнями, несанкціоновано використовуючи функцію «Прив’язані пристрої». Це робиться шляхом автоматичного підключення скомпрометованого пристрою до пристрою зловмисника.
Цей метод шпигунства є унікальним, оскільки дослідники Eset раніше не фіксували використання даної функції зловмисниками. Також це єдиний метод, за допомогою якого зловмисник може отримати доступ до вмісту повідомлень месенджера. Дослідники Eset повідомили розробників Signal про виявлену проблему.
У випадку з фальшивим додатком Telegram, а саме FlyGram, жертва має увійти в систему, як цього вимагає офіційна програма Telegram. Ще до завершення входу FlyGram починає обмінюватися даними з командним сервером, і BadBazaar отримує можливість перехоплювати конфіденційну інформацію з пристрою. FlyGram може отримати доступ до резервних копій Telegram, якщо користувач увімкнув певну функцію, додану зловмисниками. Функція була активована щонайменше 14 тис. обліковими записами користувачів.
Проксі-сервер зловмисника може реєструвати деякі метадані, але він не може розшифрувати фактичні дані та повідомлення, якими обмінюються в самому Telegram. На відміну від месенджера Signal Plus, у FlyGram немає можливості пов’язати обліковий запис Telegram зі зловмисником або перехопити зашифровані повідомлення його жертв.
У зв’язку з небезпекою подальшого поширення небезпечних програм спеціалісти рекомендують завантажувати програми з офіційних магазинів, слідкувати за дозволами, які ви надаєте програмам, та встановити рішення для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз.
Джерело: https://ko.com.ua/