Експерти от словашката компания за сигурност ESET откриха нов зловреден софтуер за Android, насочен към потребителите на месинджърите Signal и Telegram. Особено притеснителен за експертите е фактът, че основният вектор на разпространение на BadBazaar очевидно са легитимни приложения, продавани в официалните магазини на Google и Samsung.
Става въпрос за компрометирани месинджър клиенти на Signal Plus Messenger и Flygram. Вторият от тях се разпространява не само чрез Google Play, но и чрез много други канали и се рекламира като „бърз, надежден, безплатен и удобен“ алтернативен клиент за Telegram. Приложението дори имаше собствен уебсайт, но сега Google блокира връзките към него от съображения за сигурност.
Заплахата е актавна от години
Сайтът Flygram беше индексиран за първи път от Google през 2020 г. и ESET вярва, че тогава е започнала кампанията за заразяване на потенциалните жертви с помощта на Flygram. Фалшивият клиент на Signal беше активиран някъде през юли 2022 г.
Кампанията се провежда от вече познатата кибер-група GREF, която е свързана с Китай, твърди ESET. Повечето от известните жертви са в Германия, Полша и САЩ. Засечени са също атаки срещу потребители от Австралия, Бразилия, Унгария, Хонконг, Дания, Литва, Холандия, Португалия, Украйна и други страни.
Самият зловреден софтуер BadBazaar е документиран за първи път през ноември 2022 г., когато бяха идентифицирани кибератаки срещу членове на уйгурското малцинство в Китай. Софтуерът се разпространява под прикритието на невинни приложения за Android и iOS, които след инсталиране започват да събират голямо количество данни за устройството и неговия потребител, вкл. регистър на обажданията, SMS съобщения, данни за геолокация и др.
Тази кампания е започнала не по-късно от 2018 г. Обикновено троянските приложения не се появяваха в Google Play Store по това време – жертвите очевидно са ги изтеглили от някои алтернативни източници.
Но новите Signal Plus Messenger и FlyGram успяха да проникнат в Google Play и Samsung Galaxy Store. И докато бяха изчистени от официалния Android магазин на Google, те все още присъстват в магазина на Samsung.
Signal Plus има малко над 100 изтегляния от юли 2022 г. досега. Най-вероятно разпространението му е по-мащабно, тъй като, както в случая с FlyGram, това приложение има собствен уебсайт. FlyGram е изтеглен най-малко 5000 пъти от юни 2020 г.
Освен това операторите на тези компрометирани месинджъри изглежда са публикували връзки към тях в канал на Telegram за уйгури, където членовете на общността обменят приложения за Android. Групата има повече от 1300 потребители, отбелязва The Hacker News.
На прицел са данните на потребителите
И Signal Plus, и FlyGram събират и предават към отдалечен сървър голям обем поверителна информация за устройството и неговия потребител, както и данни от имитирани месинджъри Signal и Telegram.
Ако жертвата е имала неблагоразумието да активира облачна синхронизация във фалшиви приложения, зловредният софтуер получава резервни копия на предишни чатове в Telegram. Освен това има възможност за достъп до PIN сигнал.
Signal Plus Messenger е първият документиран случай на подслушване на разговори в Signal на жертва чрез тайно свързване на компрометирано устройство със собствения акаунт в Signal на нападателя, без да се изисква каквото и да е взаимодействие от страна на жертвата.
Как работи зловредният софтуер
„BadBazaar, шпионски злонамерен софтуер, е в състояние да заобиколи нормалния процес на сканиране на QR код и взаимодействие с потребителя, като получи необходимия URI от неговия контролен сървър и директно стартира процедурата, която [обикновено] трябва да се извърши, когато щракнете върху бутона Link Device”, пояснява Лукаш Щефанко, експерт по информационна сигурност в ESET.
По този начин зловредният софтуер е в състояние да сдвои устройството на жертвата с нападателя, така че последният да може да шпионира разговорите в Signal без знанието на жертвата, допълва експертът.
FlyGram, от своя страна, имплементира функция, наречена SSL pinning, която позволява на псевдо-изпращача да бъде защитен от анализ чрез вграждане на предварително дефиниран сертификат за сигурност в разпространението на APK – в резултат на това са възможни само криптирани комуникации, предоставени с такъв сертификат. Ето защо се оказва голям проблем проследяването и анализирането на трафика между приложението и неговия сървър.
Проучване на функцията Cloud Sync разкрива, че на всеки нов потребител се присвоява уникален идентификатор, чиито номера се увеличават с един последователно. Въз основа на това експертите на ESET установяват, че FlyGram с активирана функция за синхронизация е инсталиран 13953 пъти (включително от служителите на ESET).
Избягвайте „алтернативите“
Подобни трикове и методи за измама вече са ежедневна реалност в света на комуникациите. В случая с месинджърите е много по-надеждно и по-безопасно да се използват само официални клиентски програми и да се избягват всякакви „алтернативи“, независимо какво обещават, съветват специалистите.