0
0
Os pesquisadores da ESET identificaram duas campanhas ativas direcionadas aos usuários do Android , onde os atores da ameaça por trás das ferramentas do Telegram e do Signal são atribuídos ao grupo APT GREF, alinhado à China.
Provavelmente ativas desde julho de 2020 e desde julho de 2022, respectivamente para cada aplicativo malicioso , as campanhas distribuíram o código de espionagem Android BadBazaar por meio da Google Play Store, Samsung Galaxy Store e sites dedicados que se apresentam como aplicativos legítimos de bate-papo criptografados – os aplicativos maliciosos são FlyGram e Signal Plus Messenger.
Atores de ameaças exploram aplicativos falsos de Signal e Telegram
Os atores da ameaça alcançaram as funcionalidades dos aplicativos falsos Signal e Telegram, corrigindo os aplicativos Signal e Telegram de código aberto para Android com código malicioso. Signal Plus Messenger é o primeiro caso documentado de espionagem nas comunicações Signal de uma vítima; milhares de usuários baixaram os aplicativos espiões. A telemetria da ESET relatou detecções em dispositivos Android em vários países da UE, nos Estados Unidos, na Ucrânia e em outros lugares do mundo. Ambos os aplicativos foram posteriormente removidos do Google Play.
“O código malicioso da família BadBazaar foi escondido em aplicativos trojanizados de Signal e Telegram, que fornecem às vítimas uma experiência de aplicativo funcional, mas com espionagem acontecendo em segundo plano”, disse o pesquisador da ESET Lukáš Štefanko, que fez a descoberta . “O principal objetivo do BadBazaar é exfiltrar informações do dispositivo, a lista de contatos, registros de chamadas e a lista de aplicativos instalados, e realizar espionagem em mensagens do Signal, vinculando secretamente o aplicativo Signal Plus Messenger da vítima ao dispositivo do invasor”, acrescenta.
A telemetria ESET reporta detecções na Austrália, Brasil, Dinamarca, República Democrática do Congo, Alemanha, Hong Kong, Hungria, Lituânia, Holanda, Polónia, Portugal, Singapura, Espanha, Ucrânia, Estados Unidos e Iémen. Além disso, um link para o FlyGram na loja Google Play também foi compartilhado em um grupo do Telegram Uigur. Os aplicativos da família de malware BadBazaar já foram usados contra uigures e outras minorias étnicas turcas fora da China.
ESET e Google derrubam aplicativo malicioso
Como parceira da Google App Defense Alliance, a ESET identificou a versão mais recente do Signal Plus Messenger como maliciosa e compartilhou prontamente suas descobertas com o Google. Seguindo nosso alerta, o app foi removido da Store. Ambos os aplicativos foram criados pelo mesmo desenvolvedor e compartilham os mesmos recursos maliciosos, e as descrições dos aplicativos em ambas as lojas referem-se ao mesmo site do desenvolvedor.
Após o início do aplicativo, o usuário deve fazer login no Signal Plus Messenger por meio da funcionalidade legítima do Signal, assim como faria com o aplicativo oficial do Signal para Android. Uma vez logado, o Signal Plus Messenger começa a se comunicar com seu servidor de comando e controle (C&C). O Signal Plus Messenger pode espionar mensagens do Signal usando indevidamente o recurso “vincular dispositivo”.
Isso é feito conectando automaticamente o dispositivo comprometido ao dispositivo Signal do invasor. Este método de espionagem é único: os pesquisadores nunca viram essa funcionalidade sendo mal utilizada por outro malware antes, e este é o único método pelo qual o invasor pode obter o conteúdo das mensagens do Signal. A ESET Research informou os desenvolvedores do Signal sobre esta lacuna.
No que diz respeito ao falso aplicativo Telegram, FlyGram, a vítima deve fazer login por meio da funcionalidade legítima do Telegram, conforme exigido pelo aplicativo oficial do Telegram. Antes que o login seja concluído, o FlyGram começa a se comunicar com o servidor C&C e o BadBazaar ganha a capacidade de exfiltrar informações confidenciais do dispositivo.
O FlyGram pode acessar os backups do Telegram se o usuário tiver habilitado um recurso específico adicionado pelos invasores; o recurso foi ativado por pelo menos 13.953 contas de usuários. O servidor proxy do invasor pode conseguir registrar alguns metadados, mas não pode descriptografar os dados e mensagens reais trocadas dentro do próprio Telegram. Ao contrário do Signal Plus Messenger, o FlyGram não tem a capacidade de vincular uma conta do Telegram ao invasor ou interceptar as comunicações criptografadas de suas vítimas.
FONTE: HELP NET SECURITY