el yEquipo de investigación de ESETUna empresa líder en detección proactiva de amenazas ha identificado dos campañas activas dirigidas a los usuarios. AndroideDónde se atribuye el actor de amenazas detrás de la herramienta Grupo APT (Amenaza persistente avanzada) vinculada a GREF, China. Probablemente activas desde julio de 2020 y julio de 2022, las campañas distribuyeron el código espía. Android Budbazar A través de Google Play Store, Samsung Galaxy Store y sitios web dedicados que representan aplicaciones maliciosas Signal Plus Messenger y FlyGram. Los actores de amenazas parchearon las aplicaciones de código abierto Signal y Telegram para Android con un código malicioso identificado como Badbazar.
Según su telemetría, ESET ha detectado una campaña activa en Android en la que un atacante subía y distribuía aplicaciones maliciosas llamadas Signal Plus Messenger y Flygram a través de Google Play Store, Samsung Galaxy Store y sitios web dedicados, imitando la aplicación Signal (signalplus[.]org) y una aplicación alternativa de Telegram (flygram[.]org).
– La Prensa – Venezuela –
Su propósito es Aplicación troyanizada que filtra datos del usuario. En concreto, FlyGram puede extraer información básica de los dispositivos, pero también datos sensibles como listas de contactos, registros de llamadas y listas de cuentas de Google. Además, la aplicación es capaz de filtrar cierta información y configuraciones relacionadas con Telegram; Sin embargo, estos datos no incluyen listas de contactos de Telegram, mensajes ni cualquier otra información sensible.
Sin embargo, si los usuarios habilitan una característica particular Flygrama Lo que les permite realizar copias de seguridad y restaurar datos de Telegram en servidores remotos controlados por los atacantes, el actor de amenazas tendrá acceso completo a ellos. copia de seguridad de telegramasNo solo metadatos recopilados.
Esta copia de seguridad no contiene el mensaje real. Durante este análisis de características, desde ESET Descubrieron que el servidor asigna una identificación única a cada cuenta de usuario recién creada. Esta identificación sigue un patrón secuencial, lo que indica que al menos 13.953 cuentas FlyGram han activado esta función.
– La Prensa – Venezuela –
Señal Plus Mensajero recopila datos del dispositivo e información confidencial similar; Pero su objetivo principal es espiar las comunicaciones de Signal de las víctimas: puede extraer números PIN de Signal que mantienen seguras las cuentas de Signal y abusar de la función de vinculación de dispositivos que permite a los usuarios vincular computadoras de escritorio y iPads de Signal a sus teléfonos. Este método de espionaje destaca por su singularidad, ya que difiere en su funcionalidad de cualquier otro malware conocido.
ESET Telemetry informó detecciones en dispositivos Android en Australia, Brasil, Dinamarca, República Democrática del Congo, Alemania, Hong Kong, Hungría, Lituania, Países Bajos, Polonia, Portugal, Singapur, España, Ucrania, Estados Unidos y Yemen. Aparte de la distribución desde tiendas oficiales Google Play y Samsung Galaxy StoreTambién se atrajo a las víctimas potenciales para que instalaran la aplicación Flygram de un grupo uigur de Telegram, que se centra en compartir aplicaciones de Android y que cuenta con más de 1.300 miembros.
como su socio Alianza de defensa de aplicaciones de Google, ESET identificó la última versión de Signal Plus Messenger como maliciosa y rápidamente compartió sus hallazgos con Google. Tras su advertencia, la aplicación fue eliminada de la tienda. El 27 de abril de 2023, ESET informó Signal Plus Messenger tanto en Google Play como en Samsung Galaxy Store. Google tomó medidas y eliminó la aplicación el 23 de mayo de 2023. FlyGram se eliminó de Google Play en algún momento después del 6 de enero de 2021. A partir de ahora, ambas aplicaciones todavía están disponibles en Samsung Galaxy Store.
Puntos clave del informe:
- La investigación de ESET descubrió aplicaciones troyanizadas de Signal y Telegram para Android llamadas Signal Plus Messenger y Flygram en las tiendas Google Play y Samsung Galaxy; Posteriormente, ambas aplicaciones fueron eliminadas de Google Play.
- El código malicioso encontrado en estas aplicaciones se ha atribuido a la familia de malware BadBazaar, que ha sido utilizado en el pasado por un grupo APT vinculado a China llamado GREF.
- El malware BadBazaar se ha utilizado anteriormente contra los uigures y otras minorías étnicas turcas. El malware FlyGram también se compartió en un grupo uigur de Telegram, en consonancia con ataques anteriores de la familia de malware BadBazaar.
- FlyGram puede acceder a la copia de seguridad de Telegram si el usuario activa una función específica agregada por los atacantes; La función fue activada por al menos 13.953 cuentas de usuario.
- Signal Plus Messenger representa el primer caso documentado de secuestro de las comunicaciones de Signal de una víctima al vincular de forma secreta y automática un dispositivo comprometido al dispositivo Signal de un atacante.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/troyanizadas-telegram-signal-espia-badbazaar-usuarios-android/
– La Prensa – Venezuela –