Компания ESET — лидер в области информационной безопасности — предупреждает о распространении поддельных приложений Telegram и Signal, целью которых является шпионаж за жертвами. По данным телеметрии ESET, образцы обнаружены на устройствах Android в Украине, нескольких странах ЕС, США и других странах.
Опасные программы уже загрузили тысячи пользователей. Шпионские приложения распространялись через магазины Google Play, Samsung Galaxy Store и специализированные веб-сайты.
Поддельные версии в дополнение к функционалу приложений Signal и Telegram имеют также добавленный злоумышленниками вредоносный код. Шпионские программы получили названия FlyGram и Signal Plus Messenger. Первая распространялась с июля 2020 года, вторая – с июля 2022 года. При этом Signal Plus Messenger – это первый зафиксированный случай шпионажа за сообщениями пользователей Signal. Позже оба приложения были удалены из Google Play. Эта опасная активность связана с китайской APT-группой GREF.
«Вредоносный код из семейства BadBazaar был скрыт в поддельных программах Signal и Telegram, которые имеют весь привычный функционал, а шпионаж происходит в фоновом режиме, — рассказывает Лукаш Штефанко, исследователь ESET. — Основной целью BadBazaar является получение информации об устройстве, списке контактов, журналах вызовов и списке установленных программ, а также осуществление шпионажа за сообщениями Signal путем скрытого соединения программы Signal Plus Messenger с устройством злоумышленника».
По данным телеметрии ESET, угрозы обнаружены в Австралии, Бразилии, Дании, Демократической Республике Конго, Германии, Гонконге, Венгрии, Литве, Нидерландах, Польше, Португалии, Сингапуре, Испании, Украине, США и Йемене.
Как партнер Google App Defense Alliance компания ESET сразу после обнаружения вредоносного приложения Signal Plus Messenger немедленно поделилась своими заключениями с Google. После этого приложение было удалено из магазина. Обе программы были созданы одним разработчиком и имеют одинаковые вредоносные функции, а описания программ в обоих магазинах ссылаются на тот же веб-сайт разработчика.
После начального запуска приложения пользователь должен войти в Signal Plus Messenger, как и в официальном приложении Signal для Android. После входа в систему опасная программа начинает обмениваться данными со своим командным сервером (C&C). Signal Plus Messenger может шпионить за сообщениями, несанкционированно используя функцию «Связанные устройства». Это делается путем автоматического подключения скомпрометированного устройства к устройству злоумышленника.
Этот метод шпионажа уникален, поскольку исследователи ESET ранее не фиксировали использование этой функции злоумышленниками. Также это единственный метод, благодаря которому злоумышленник может получить содержимое сообщений мессенджера. Исследователи ESET сообщили разработчикам Signal об этом методе.
В случае с фальшивым приложением Telegram, а именно FlyGram, жертва должна войти в систему, как этого требует официальная программа Telegram. Еще до завершения входа FlyGram начинает обмениваться данными с командным сервером (C&C) и BadBazaar получает возможность перехватывать конфиденциальную информацию с устройства. FlyGram может получить доступ к резервным копиям Telegram, если пользователь включил определенную функцию, добавленную злоумышленниками. Функция была активирована по меньшей мере 13 953 учетными записями пользователей.
Прокси-сервер злоумышленника может регистрировать некоторые метаданные, но он не может расшифровать фактические данные и сообщения, которыми обмениваются в самом Telegram. В отличие от мессенджера Signal Plus, у FlyGram нет возможности связать аккаунт Telegram со злоумышленником или перехватить зашифрованные сообщения его жертв.
В связи с опасностью дальнейшего распространения опасных программ специалисты ESET рекомендуют загружать программы из официальных магазинов, следить за предоставленными программам разрешениями и установить решения для защиты ваших компьютеров и мобильных устройств от различных угроз.