В Украине распространяются поддельные программы Signal и Telegram

Компания ESET - лидер в области информационной безопасности - предупреждает о распространении поддельных приложений Telegram и Signal, целью которых является шпионаж за жертвами. По данным телеметрии ESET, образцы обнаружены на устройствах Android в Украине, нескольких странах ЕС, США и других странах.

Опасные программы уже загрузили тысячи пользователей. Шпионские приложения распространялись через магазины Google Play, Samsung Galaxy Store и специализированные веб-сайты.

Поддельные версии в дополнение к функционалу программ Signal и Telegram имеют еще и добавленный злоумышленниками вредоносный код. Шпионские программы получили названия FlyGram и Signal Plus Messenger. Первая распространялась с июля 2020 года, вторая - с июля 2022 года. При этом, Signal Plus Messenger - это первый зафиксированный случай шпионажа по сообщениям пользователей Signal. Позже оба приложения были удалены из Google Play. Эта опасная активность связана с китайской APT-группой GREF.

"Вредоносный код из семейства BadBazaar был скрыт в поддельных программах Signal и Telegram, которые имеют весь привычный функционал, а шпионаж происходит в фоновом режиме, - рассказывает Лукаш Штефанко, исследователь ESET, - Основной целью BadBazaar является получение информации об устройстве, списке контактов, журналах вызовов и списке установленных программ, а также осуществление шпионажа за сообщениями Signal путем скрытого соединения программы Signal Plus Messenger с устройством злоумышленника".

По данным телеметрии ESET, угрозы обнаружены в Австралии, Бразилии, Дании, Демократической Республике Конго, Германии, Гонконге, Венгрии, Литве, Нидерландах, Польше, Португалии, Сингапуре, Испании, Украине, США и Йемене.

Как партнер Google App Defense Alliance компания ESET сразу после обнаружения вредоносного приложения Signal Plus Messenger немедленно поделилась своими выводами с Google. После этого приложение было удалено из магазина. Обе программы были созданы одним разработчиком и имеют одинаковые вредоносные функции, а описания программ в обоих магазинах ссылаются на один и тот же веб-сайт разработчика.

После первоначального запуска приложения пользователь должен войти в Signal Plus Messenger, так же как и в официальной программе Signal для Android. После входа в систему Signal Plus Messenger начинает обмениваться данными со своим командным сервером (C&C). Signal Plus Messenger может шпионить за сообщениями, несанкционированно используя функцию "Привязанные устройства". Это делается путем автоматического подключения скомпрометированного устройства к устройству злоумышленника.

Этот метод шпионажа является уникальным, поскольку исследователи ESET ранее не фиксировали использование этой функции злоумышленниками. Также это единственный метод, с помощью которого злоумышленник может получить доступ к содержимому сообщений мессенджера. Исследователи ESET сообщили разработчикам Signal об этом методе.

В случае с фальшивым приложением Telegram, а именно FlyGram, жертва должна войти в систему, как этого требует официальное приложение Telegram. Еще до завершения входа FlyGram начинает обмениваться данными с командным сервером, и BadBazaar получает возможность перехватывать конфиденциальную информацию с устройства. FlyGram может получить доступ к резервным копиям Telegram, если пользователь включил определенную функцию, добавленную злоумышленниками. Функция была активирована по крайней мере 13 953 учетными записями пользователей.

Прокси-сервер злоумышленника может регистрировать некоторые метаданные, но он не может расшифровать фактические данные и сообщения, которыми обмениваются в самом Telegram. В отличие от мессенджера Signal Plus, у FlyGram нет возможности связать учетную запись Telegram со злоумышленником или перехватить зашифрованные сообщения его жертв.

В связи с опасностью дальнейшего распространения опасных программ специалисты ESET рекомендуют загружать программы из официальных магазинов, следить за разрешениями, которые вы предоставляете программам, и установить решения для защиты ваших компьютеров и мобильных устройств от различных угроз.