Поделиться
На Android напало новое шпионское ПО. В большой опасности пользователи Telegram
Специалисты компании ESET выявили сразу два «альтернативных» клиента для мессенджерв Signal и Telegram, заряженных пугающе эффективной шпионской программой.
«Альтернатива» из-под полы
Эксперты словацкой компании ESET объявили об обнаружении нового вредоноса под Android, нацеленного на пользователей мессенджеров Signal и Telegram.
Особую озабоченность у специалистов вызывает то обстоятельство, что основным вектором распространения BadBazaar являются на вид легитимные приложения, продающиеся в официальных магазинах Google и Samsung. Речь идёт о скомпрометированных клиентах Signal Plus Messenger и Flygram. Flygram, кстати, распространяется не только через Google Play, но через множество других каналов и рекламируется как «быстрый, надёжный, бесплатный и удобный» альтернативный клиент для Telegram.
У него даже был свой сайт, но сейчас Google блокирует соединения с ним из соображений безопасности.
Сайт Flygram впервые был проиндексирован Google в 2020 году, и в ESET считают, что именно тогда и началась кампания по заражению потенциальных жертв с помощью Flygram. Поддельный клиент Signal задействовали где-то в июле 2022 года.
В ESET полагают, что эту кампанию ведёт уже знакомая им группировка GREF, связанная с Китаем. Большинство известных жертв находятся в Германии, Польше и США. Отмечены также атаки на пользователей из Австралии, Бразилии, Венгрии, Гонконга, Дании, Литвы, Нидерландов, Португалии, Украины и других стран.
Уйгуры первые, дальше - все остальные
Сам по себе вредонос BadBazaar впервые был задокументирован в ноябре 2022 г., когда были выявлены кибератаки на представителей уйгурского меньшинства в Китае.
Вредонос распространялся под видом невинных приложений для Android и iOS, которые после установки начинали собирать крупный массив данных об устройстве и его пользователе. В том числе логи звонков, SMS-сообщения, геолокационные данные и т.д.
Та кампания началась не позднее 2018 г. Что характерно, троянизированные приложения на тот момент в Google Play Store не попали - жертвы, по-видимому, скачивали их из каких-то альтернативных источников.
А вот новые Signal Plus Messenger и FlyGram смогли-таки просочиться в Google Play и Samsung Galaxy Store. И если из первого магазина их уже вычистили, то в магазине Samsung они присутствуют и поныне.
У Signal Plus с июля 2022 г. отмечены всего чуть более сотни скачиваний. Их, скорее всего, больше, поскольку, как и в случае FlyGram, для этого приложения был создан собственный сайт. FlyGram с июня 2020 года скачивали не менее 5000 раз.
Вдобавок, по-видимому, операторы этих скомпрометированных мессенджеров опубликовали ссылки на них в Telegram-канале для уйгуров, где участники сообщества обмениваются приложениями под Android. Группа насчитывает более 1300 пользователей, отмечает издание The Hacker News.
Шпионы загребущие
И Signal Plus, и FlyGram собирают и выводят на удалённый сервер большое количество конфиденциальной информации об устройстве и его пользователе, а также выводят данные из имитируемых мессенджеров - Signal и Telegram.
Если жертва имела неосторожность активировать в поддельных приложениях синхронизацию с облаком, вредонос получает резервные копии прежних чатов в Telegram. Кроме того, он способен получать доступ к PIN Signal.
Signal Plus Messenger представляет собой первый задокументированный случай слежки за перепиской жертвы в Signal посредством скрытого подключения скомпрометированного устройства к собственной учетной записи оператора атаки в Signal, не требующего какого-либо взаимодействия с жертвой.
«BadBazaar, шпионская вредоносная программа, способна обходить обычный процесс сканирования QR-кода и взаимодействия с пользователем благодаря том, что необходимый URI она получает от своего контрольного сервера и напрямую запуская процедуру, которая [в обычных условиях] должна осуществляться при нажатии кнопки «Связать устройство, - поясняет Лукаш Штефанко (Lukáš Štefanko), эксперт ESET по информационной безопасности. - Тем самым вредоносная программа получает возможность осуществить сопряжение устройства жертвы и атакующего, так что последний сможет шпионить за переговорами по Signal без ведома жертвы».
Во FlyGram, в свою чередь, реализована функция под названием SSL pinning, которая позволяет псевдомессенджеру предохраняться от анализа, встраивая предзаданный сертификат безопасности в дистрибутив APK; в результате возможны только зашифрованные коммуникации, снабжённые таким сертификатом. Из-за этого оказалось большой проблемой отследить и проанализировать трафик между приложением и его сервером.
Изучение функции Cloud Sync выявило, что каждому новому пользователю присваивается уникальный идентификатор, чьи номера последовательно увеличиваются на единицу. Исходя из этого, эксперты ESET выяснили, что FlyGram с активированной функцией синхронизации установлен 13953 раза (в это число входят и сами сотрудники ESET).
«Весьма умный подход к кибершпионажу, как будто взятый из фантастических произведений, где хакеры могут молниеносно и незаметно подсоединяться к чужим аппаратам и шпионить, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Но в данном случае всё совершенно реально, и более 10 тысяч человек оказались под угрозой, не имея ни малейшего понятия об этом. Приходится признать, что такие уловки и методы теперь - повседневная действительность, и быть готовыми противостоять им».
Эксперт отметила так же, что в случае мессенджеров, гораздо надёжнее и безопаснее использовать только официальные клиентские программы и избегать всяких «альтернатив», чего бы они ни сулили.
Короткая ссылка
