Зараженные троянами приложения Signal и Telegram обнаружили в Google Play

Зараженные троянами приложения Signal и Telegram обнаружили в Google Play. Фото: СС0

Ранее это вредоносное ПО  использовалось для нападения на жертв в Китае, но телеметрия ESET показывает, что на этот раз злоумышленники нацелены на пользователей на Украине, в Польше, Нидерландах, Испании, Португалии, Германии, Гонконге и США.

Возможности BadBazaar включают отслеживание точного местоположения устройства, кражу журналов вызовов и SMS, запись телефонных звонков, фотографирование с помощью камеры, кражу списков контактов и кражу файлов или баз данных.

Троянизированные приложения, содержащие код BadBazaar, были обнаружены исследователем ESET Лукасом Стефанко.

Два выявленных приложения называются Signal Plus Messenger и FlyGram. Оба приложения представляют собой исправленные версии популярных IM-приложений с открытым исходным кодом Signal и Telegram.

Злоумышленники также создали специальные веб-сайты «signalplus[.]org» и «flygram[.]org», чтобы придать легитимность кампании по распространению вредоносного ПО, предлагая ссылки для установки приложения из Google Play или непосредственно с сайта.

В ESET сообщают, что FlyGram нацелен на конфиденциальные данные, такие как списки контактов, журналы вызовов, учетные записи Google и данные Wi-Fi, а также предлагает опасную функцию резервного копирования, которая отправляет данные связи Telegram на сервер, контролируемый злоумышленниками.

Анализ доступных данных показывает, что как минимум 13 953 пользователя FlyGram включили эту функцию резервного копирования, но общее количество пользователей шпионского приложения не определено.

Клон Signal собирает аналогичную информацию, но больше фокусируется на извлечении специфичной для Signal информации, такой как сообщения жертвы и PIN-код, который защищает ее учетную запись от несанкционированного доступа.

Поддельное приложение Signal включает в себя функцию, которая делает атаку более интересной. Она позволяет злоумышленнику связать учетные записи Signal жертвы с устройствами, контролируемыми злоумышленниками, чтобы последние могли видеть будущие сообщения чата.

Signal включает в себя функцию на основе QR-кода, которая позволяет связать несколько устройств с одной учетной записью, чтобы сообщения чата были видны со всех них.

Вредоносный Signal Plus Messenger злоупотребляет этой функцией, обходя процесс привязки QR-кода и автоматически привязывая свои собственные устройства к учетным записям Signal жертвы без её ведома. Это позволяет злоумышленникам отслеживать все будущие сообщения, отправленные с учетной записи Signal.

Из сообщения ESET:

«BadBazaar, вредоносная программа, ответственная за шпионаж, обходит обычный процесс сканирования QR-кода и щелчка пользователя, получая необходимый URI от своего C&C-сервера и напрямую запуская необходимое действие при нажатии кнопки «Связать устройство. Это позволяет вредоносному ПО тайно связывать смартфон жертвы с устройством злоумышленника, позволяя ему шпионить за связью Signal без ведома жертвы, как показано на рисунке 12».

ESET утверждает, что этот метод слежки использовался раньше, поскольку это единственный способ получить содержимое сообщений Signal.

Чтобы выяснить, связаны ли посторонние устройства с вашей учетной записью Signal, необходимо запустить настоящее приложение Signal, перейти в «Настройки» и коснуться параметра «Связанные устройства», чтобы просмотреть все подключенные устройства и управлять ими.

FlyGram был загружен в Google Play в июле 2020 года и удален 6 января 2021 года, в общей сложности через этот канал было собрано 5 тыс. установок.

Signal Plus Messenger был загружен в Google Play и магазин Samsung Galaxy в июле 2022 года, а команда Google удалила его 23 мая 2023 года.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Значок независимой проверки безопасности появился в Google Workspace Marketplace.
• Microsoft добавляет поддержку HSTS в Exchange Server 2016 и 2019.
• LinkedIn отказывается от паролей.