Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaLe app Signal e Telegram con trojan su Google Play diffondevano spyware
Le app Signal e Telegram contenenti lo spyware BadBazaar sono state caricate su Google Play e Samsung Galaxy Store da un gruppo di hacking APT cinese noto come GREF.
Questo malware è stato precedentemente utilizzato per prendere di mira le minoranze etniche in Cina, ma i dati di telemetria di ESET mostrano che questa volta gli aggressori prendono di mira utenti in Ucraina, Polonia, Paesi Bassi, Spagna, Portogallo, Germania, Hong Kong e Stati Uniti.
Le capacità di BadBazaar includono il tracciamento della posizione precisa del dispositivo, il furto di registri delle chiamate e SMS, la registrazione di telefonate, lo scatto di foto utilizzando la fotocamera, l'esfiltrazione di elenchi di contatti e il furto di file o database.
Le app trojanizzate contenenti il codice BadBazaar sono state scoperte dal ricercatore di ESET, Lukas Stefanko.
Le due app utilizzate da GREF nella sua campagna si chiamano "Signal Plus Messenger" e "FlyGram", entrambe versioni con patch delle popolari app di messaggistica istantanea open source Signal e Telegram.
Gli autori delle minacce hanno anche creato siti Web dedicati su "signalplus[.]org" e "flygram[.]org" per aggiungere legittimità alla campagna malware, offrendo collegamenti per installare l'app da Google Play o direttamente dal sito.
ESET segnala che FlyGram prende di mira dati sensibili come elenchi di contatti, registri delle chiamate, account Google e dati WiFi e offre anche una pericolosa funzionalità di backup che invia i dati di comunicazione di Telegram a un server controllato dagli aggressori.
L'analisi dei dati disponibili mostra che almeno 13.953 utenti FlyGram hanno abilitato questa funzione di backup, ma il numero totale di utenti dell'app spyware non è definito.
Il clone di Signal raccoglie informazioni simili ma si concentra maggiormente sull'estrazione di informazioni specifiche di Signal come le comunicazioni della vittima e il PIN che protegge il suo account da accessi non autorizzati.
Tuttavia, la falsa app Signal include una funzionalità che rende l'attacco più interessante, poiché consente all'aggressore di collegare gli account Signal della vittima ai dispositivi controllati dall'aggressore in modo che gli aggressori possano vedere i futuri messaggi di chat.
Signal include una funzionalità basata su codice QR che ti consente di collegare più dispositivi a un singolo account in modo che i messaggi di chat possano essere visualizzati da tutti.
Il dannoso Signal Plus Messenger abusa di questa funzionalità aggirando il processo di collegamento del codice QR e collegando automaticamente i propri dispositivi agli account Signal delle vittime senza che la vittima lo sappia. Ciò consente agli aggressori di monitorare tutti i futuri messaggi inviati dall'account Signal.
"BadBazaar, il malware responsabile dello spionaggio, aggira la consueta scansione del codice QR e il processo di clic dell'utente ricevendo l'URI necessario dal suo server C&C e attivando direttamente l'azione necessaria quando si fa clic sul pulsante Collega dispositivo", spiega ESET.
"Ciò consente al malware di collegare segretamente lo smartphone della vittima al dispositivo dell'aggressore, consentendogli di spiare le comunicazioni di Signal all'insaputa della vittima, come illustrato nella Figura 12."
ESET afferma che questo metodo di spionaggio di Signal è stato utilizzato in precedenza poiché è l'unico modo per ottenere il contenuto dei messaggi di Signal.
Per capire se i dispositivi non autorizzati sono collegati al tuo account Signal, avvia l'app Signal reale, vai su Impostazioni e tocca l'opzione "Dispositivi collegati" per visualizzare e gestire tutti i dispositivi collegati.
FlyGram è stato caricato su Google Play nel luglio 2020 ed è stato rimosso il 6 gennaio 2021, dopo aver accumulato un totale di 5.000 installazioni attraverso quel canale.
Signal Plus Messenger è stato caricato su Google Play e sullo store Samsung Galaxy nel luglio 2022 e Google lo ha rimosso il 23 maggio 2023.
Al momento della stesura di questo articolo, BleepingComputer ha confermato che entrambe le app erano ancora disponibili sul Samsung Galaxy Store.
Si consiglia agli utenti Android di utilizzare le versioni originali di Signal e Telegram ed evitare di scaricare app fork che promettono una maggiore privacy o funzionalità aggiuntive, anche se disponibili negli app store ufficiali.
Le app con 1,5 milioni di installazioni su Google Play inviano i tuoi dati in Cina
Il nuovo malware Android MMRat utilizza il protocollo Protobuf per rubare i tuoi dati