Spyware BadBazaar, presi di mira gli utenti Android con app trojanizzate

I ricercatori di sicurezza informatica ESET hanno scoperto delle app Android trojanizzate per Signal e Telegram distribuite tramite gli Store Google Play e Samsung Galaxy e progettate per fornire lo spyware BadBazaar sui dispositivi infetti.

I dettagli

Le app in questione sarebbero Signal Plus Messenger e FlyGram entrambe progettate per raccogliere ed esfiltrare dati sensibili degli utenti, carpendo anche informazioni rispettivamente da Signal e Telegram secondo il meccanismo mostrato in figura.

Fonte ESET

In un video pubblicato viene spiegato come l’autore della minaccia collega il dispositivo compromesso all’account Signal dell’aggressore senza alcuna interazione da parte dell’utente e come gli utenti possono verificare se il loro account Signal è stato collegato a un altro dispositivo.

Fonte ESET

Matrice e target

Le due campagne attribuite secondo ESET a un attore legato alla Cina chiamato GREF, si sarebbero diffuse principalmente in Germania, Polonia e Stati Uniti, seguite da Ucraina, Australia, Brasile, Danimarca, Congo-Kinshasa, Hong Kong, Ungheria, Lituania, Paesi Bassi, Portogallo, Singapore, Spagna e Yemen.

Conclusioni

Lo scopo principale di BadBazaar è quello di esfiltrare informazioni sul dispositivo, l’elenco dei contatti, i registri delle chiamate e l’elenco delle app installate e di condurre spionaggio sui messaggi di Signal collegando segretamente l’app Signal Plus Messenger della vittima al dispositivo dell’aggressore“, conclude il ricercatore ESET Lukáš Štefanko.

Sebbene ESET abbia segnalato le due app agli Store Google Play e Samsung Galaxy e siano state rimosse da Google, al 30 agosto 2023 entrambe le app sarebbero state ancora disponibili sul Samsung Galaxy Store.

Si consiglia pertanto di implementare tutti gli indicatori di compromissione (IoC) inclusi nel rapporto per tali minacce.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.