I ricercatori di sicurezza informatica ESET hanno scoperto delle app Android trojanizzate per Signal e Telegram distribuite tramite gli Store Google Play e Samsung Galaxy e progettate per fornire lo spyware BadBazaar sui dispositivi infetti.
I dettagli
Le app in questione sarebbero Signal Plus Messenger e FlyGram entrambe progettate per raccogliere ed esfiltrare dati sensibili degli utenti, carpendo anche informazioni rispettivamente da Signal e Telegram secondo il meccanismo mostrato in figura.
In un video pubblicato viene spiegato come l’autore della minaccia collega il dispositivo compromesso all’account Signal dell’aggressore senza alcuna interazione da parte dell’utente e come gli utenti possono verificare se il loro account Signal è stato collegato a un altro dispositivo.
Matrice e target
Le due campagne attribuite secondo ESET a un attore legato alla Cina chiamato GREF, si sarebbero diffuse principalmente in Germania, Polonia e Stati Uniti, seguite da Ucraina, Australia, Brasile, Danimarca, Congo-Kinshasa, Hong Kong, Ungheria, Lituania, Paesi Bassi, Portogallo, Singapore, Spagna e Yemen.
Conclusioni
“Lo scopo principale di BadBazaar è quello di esfiltrare informazioni sul dispositivo, l’elenco dei contatti, i registri delle chiamate e l’elenco delle app installate e di condurre spionaggio sui messaggi di Signal collegando segretamente l’app Signal Plus Messenger della vittima al dispositivo dell’aggressore“, conclude il ricercatore ESET Lukáš Štefanko.
Sebbene ESET abbia segnalato le due app agli Store Google Play e Samsung Galaxy e siano state rimosse da Google, al 30 agosto 2023 entrambe le app sarebbero state ancora disponibili sul Samsung Galaxy Store.
Si consiglia pertanto di implementare tutti gli indicatori di compromissione (IoC) inclusi nel rapporto per tali minacce.