- Výskumníci spoločnosti ESET objavili v obchodoch Google Play a Samsung Galaxy Store falošné skompromitované verzie aplikácií Signal a Telegram pre Android s názvami Signal Plus Messenger a FlyGram. Obe aplikácie boli neskôr z Google Play odstránené.
- Signal Plus Messenger predstavuje prvý zdokumentovaný prípad špehovania komunikácie v službe Signal prostredníctvom tajného automatického prepojenia napadnutého zariadenia so zariadením útočníka.
- Škodlivý kód nájdený v týchto aplikáciách výskumníci pripisujú malvérovej rodine BadBazaar, ktorú v minulosti používala APT skupina GREF napojená na Čínu.
- Špionážne aplikácie si stiahli tisíce používateľov. Telemetria spoločnosti ESET zaznamenala detekcie na zariadeniach so systémom Android vo viacerých krajinách Európskej únie, v Spojených štátoch, na Ukrajine a na ďalších miestach vo svete.
- Škodlivý softvér BadBazaar bol v minulosti použitý na útoky proti Ujgurom a iné etnické menšiny. Malvér FlyGram bol tiež zaznamenaný v ujgurskej Telegram skupine, čo sa zhoduje s predchádzajúcim cielením malvéru BadBazaar.
Výskumníci spoločnosti ESET identifikovali dve aktívne kampane zamerané na používateľov operačného systému Android, pričom zodpovednosť za útoky cez nástroje imitujúce Telegram a Signal pripísali APT skupine GREF napojenej na Čínu. Jednotlivé kampane boli s najväčšou pravdepodobnosťou aktívne od júla 2020, resp. od júla 2022. Distribuovali špionážny kód BadBazaar pre Android prostredníctvom obchodu Google Play, Samsung Galaxy Store a špecializovaných webových stránok vydávajúcich sa za legitímne aplikácie na šifrovaný chat. Škodlivé aplikácie sa nazývajú FlyGram a Signal Plus Messenger. Útočníci dosiahli funkčnosť falošných aplikácií Signal a Telegram pozmenením open-source aplikácií Signal a Telegram pre Android škodlivým kódom. Signal Plus Messenger je prvým zdokumentovaným prípadom špehovania komunikácie obete v službe Signal, špehovacie aplikácie si stiahli tisíce používateľov. Telemetria spoločnosti ESET zaznamenala detekcie na zariadeniach so systémom Android vo viacerých krajinách EÚ, v Spojených štátoch, na Ukrajine a na ďalších miestach vo svete. Obe aplikácie boli neskôr odstránené z obchodu Google Play.
„Škodlivý kód z rodiny BadBazaar bol ukrytý v skompromitovaných verziách aplikácií Signal a Telegram, ktoré obetiam poskytujú funkcie legitímnych aplikácií, ale na ich pozadí prebieha špionáž,“ hovorí výskumník spoločnosti ESET Lukáš Štefanko, ktorý odhalil škodlivú kampaň. „Hlavným cieľom BadBazaar je exfiltrovať informácie o zariadení, zoznamy kontaktov, protokolov hovorov a zoznam nainštalovaných aplikácií a špehovať správy Signal tajným prepojením aplikácie Signal Plus Messenger so zariadením útočníka,“ dodáva.
Telemetria spoločnosti ESET zaznamenala detekcie z Austrálie, Brazílie, Dánska, Demokratickej republiky Kongo, Nemecka, Hongkongu, Maďarska, Litvy, Holandska, Poľska, Portugalska, Singapuru, Španielska, Ukrajiny, Spojených štátov a Jemenu. Okrem toho bol odkaz na FlyGram v obchode Google Play zdieľaný aj v ujgurskej Telegram skupine. Aplikácie rodiny škodlivého softvéru BadBazaar sa už predtým používali proti Ujgurom a iným etnickým menšinám mimo Číny.
Spoločnosť ESET ako partner Google App Defense Alliance identifikovala najnovšiu verziu aplikácie Signal Plus Messenger ako škodlivú a svoje zistenia okamžite poskytla spoločnosti Google. Na základe nášho upozornenia bola aplikácia z obchodu odstránená. Obe falošné aplikácie vytvoril ten istý vývojár, majú rovnaké škodlivé funkcie a popisy aplikácií v oboch obchodoch odkazujú na rovnakú webovú stránku vývojára.
Po prvotnom spustení aplikácie sa používateľ musí prihlásiť do falošnej aplikácie Signal Plus Messenger rovnakým spôsobom ako v prípade oficiálnej aplikácie Signal pre Android. Po prihlásení začne aplikácia Signal Plus Messenger komunikovať so svojím riadiacim serverom. Signal Plus Messenger môže špehovať správy Signal zneužitím funkcie „prepojiť zariadenie“. Robí to tak, že automaticky pripojí napadnuté zariadenie k Signal zariadeniu útočníka. Tento spôsob špehovania je jedinečný, výskumníci spoločnosti ESET sa doteraz nestretli so zneužitím tejto funkcie iným škodlivým softvérom a je to jediná metóda, ktorou môže útočník získať obsah správ aplikácie Signal. Výskumníci spoločnosti ESET o tomto probléme informovali vývojárov aplikácie Signal.
V prípade falošnej aplikácie Telegram, FlyGram, sa obeť prihlasuje prostredníctvom legitímnej funkcionality, ako to vyžaduje oficiálna aplikácia Telegram. Pred dokončením prihlásenia začne aplikácia FlyGram komunikovať s riadiacim serverom a BadBazaar získa možnosť vyniesť citlivé informácie zo zariadenia. FlyGram môže získať prístup k zálohám Telegramu, ak má používateľ aktivovanú špecifickú funkciu pridanú útočníkmi, pričom túto funkciu malo aktivovanú najmenej 13 953 používateľských účtov. Proxy server útočníka môže zaznamenať niektoré metadáta, ale nemôže dešifrovať skutočné údaje a správy vymieňané v rámci samotného Telegramu. Na rozdiel od škodlivej aplikácie Signal Plus Messenger, FlyGram nedokáže prepojiť Telegram účet s útočníkom ani zachytiť šifrovanú komunikáciu svojich obetí.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Pre najnovšie odhalenia výskumníkov spoločnosti ESET sledujte Twitter ESET Research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.