I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno identificato due campagne attive rivolte agli utenti Android di Telegram e Signal, in cui gli attori delle minacce sono riconducibili al gruppo APT GREF allineato alla Cina. Molto probabilmente attive dal luglio 2020 e dal luglio 2022, rispettivamente per ciascuna app, le campagne hanno distribuito il codice di spionaggio Android BadBazaar attraverso il Google Play Store, il Samsung Galaxy Store e siti web dedicati che si spacciano per legittime applicazioni di chat criptate - le app dannose sono FlyGram e Signal Plus Messenger. Gli attori delle minacce hanno ottenuto le funzionalità delle false app di Signal e Telegram patchando le app open-source di Signal e Telegram per Android con codice maligno. Signal Plus Messenger è il primo caso documentato di spionaggio delle comunicazioni Signal di una vittima; migliaia di utenti hanno scaricato le app spia. La telemetria di ESET ha segnalato rilevamenti su dispositivi Android in diversi Paesi in Unione Europea, negli Stati Uniti, in Ucraina e in altri paesi nel mondo. Entrambe le app sono state successivamente rimosse da Google Play.
“Il codice dannoso di BadBazaar era nascosto nelle app affette da trojan di Signal e Telegram, che forniscono alle vittime un'esperienza di app funzionante, ma con un’attività di spionaggio in background”, spiega Lukáš Štefanko, ricercatore ESET che ha effettuato la scoperta. “Lo scopo principale di BadBazaar è quello di esfiltrare le informazioni del dispositivo, l'elenco dei contatti, i registri delle chiamate e l'elenco delle app installate, e di condurre lo spionaggio sui messaggi di Signal collegando segretamente l'app Signal Plus Messenger della vittima al dispositivo dell'aggressore”, aggiunge.
La telemetria di ESET riporta rilevamenti da Australia, Brasile, Danimarca, Repubblica Democratica del Congo, Germania, Hong Kong, Ungheria, Lituania, Paesi Bassi, Polonia, Portogallo, Singapore, Spagna, Ucraina, Stati Uniti e Yemen. Inoltre, un link a FlyGram nel Google Play Store è stato condiviso anche in un gruppo Telegram uiguro. Le applicazioni del malware BadBazaar sono state utilizzate in precedenza contro gli uiguri e altre minoranze etniche turche al di fuori della Cina.
In qualità di partner di Google App Defense Alliance, ESET ha identificato la versione più recente di Signal Plus Messenger come dannosa e ha prontamente condiviso le sue scoperte con Google. In seguito alla segnalazione, l'app è stata rimossa dallo Store. Entrambe le app sono state create dallo stesso sviluppatore e condividono le stesse funzionalità dannose, e le descrizioni delle app su entrambi gli store fanno riferimento allo stesso sito web dello sviluppatore.
Dopo l'avvio iniziale dell'app, l'utente deve accedere a Signal Plus Messenger tramite la funzionalità legittima di Signal, proprio come farebbe con l'app ufficiale per Android. Una volta effettuato l'accesso, Signal Plus Messenger inizia a comunicare con il suo server di command and control (C&C). Signal Plus Messenger può spiare i messaggi di Signal abusando della funzione "collega dispositivo". Lo fa collegando automaticamente il dispositivo compromesso al dispositivo Signal dell'aggressore. Questo metodo di spionaggio è unico: i ricercatori di ESET non hanno mai riscontrato una funzionalità simile utilizzata in modo improprio da altri malware e questo è l'unico metodo con cui l'aggressore può accedere al contenuto dei messaggi di Signal. ESET Research ha informato gli sviluppatori di Signal di questa falla.
Per quanto riguarda la falsa app di Telegram, FlyGram, la vittima deve effettuare l'accesso tramite la legittima funzionalità di Telegram, come richiesto dall'app ufficiale. Prima che il login sia completato, FlyGram inizia a comunicare con il server C&C e BadBazaar ottiene la possibilità di esfiltrare informazioni sensibili dal dispositivo. FlyGram può accedere ai backup di Telegram se l'utente ha attivato una funzione specifica aggiunta dagli aggressori, funzione che è stata attivata da almeno 13.953 account utente. Il server proxy dell'attaccante può essere in grado di registrare alcuni metadati, ma non può decriptare i dati e i messaggi effettivamente scambiati all'interno di Telegram. A differenza di Signal Plus Messenger, FlyGram non ha la capacità di collegare un account Telegram all'attaccante o di intercettare le comunicazioni crittografate delle sue vittime.
Per ulteriori informazioni tecniche sulle ultime campagne di GREF, riguardanti BadBazaar e le app di spionaggio affette da trojan, consultare il blogpost "BadBazaar espionage tool targets Android via trojanized Signal and Telegram apps" su WeLiveSecurity.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
Informazioni su ESET
Da oltre 30 anni, ESET® sviluppa software e servizi di sicurezza informatica leader del settore per proteggere le aziende, le infrastrutture critiche e i consumatori di tutto il mondo da minacce digitali sempre più sofisticate. Dalla sicurezza degli endpoint e dei dispositivi mobili al rilevamento e alla risposta degli endpoint, passando per la crittografia e l'autenticazione multifattoriale, le soluzioni ESET ad alte prestazioni e di facile utilizzo proteggono e monitorano in modo discreto 24 ore su 24, 7 giorni su 7, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro e le aziende funzionanti senza interruzioni. L'evoluzione delle minacce richiede un'azienda di sicurezza informatica in continua evoluzione che consenta un uso sicuro della tecnologia. Questo è supportato dai centri di ricerca e sviluppo di ESET in tutto il mondo, che lavorano a sostegno del nostro futuro comune. Per ulteriori informazioni, visitate il sito www.eset.com o seguiteci su LinkedIn, Facebook e Twitter.