חוקרי ESET זיהו שני קמפיינים פעילים המכוונים למשתמשי אנדרואיד, כשהתוקפים העומדים מאחורי הכלים ל-Telegram ו-Signal משויכים לקבוצת התקיפה המכונה GREF, שמזוהה עם אינטרסים סיניים.
הקמפיינים, שפעלו החל מיולי 2020 ו- 2022 בהתאמה לכל אחת מהתוכנות הזדוניות, הפיצו את קוד הריגול של BadBazaar לאנדרואיד באמצעות חנות Google Play, Samsung Galaxy Store ואתרים ייעודיים המתחזים לאלו של אפליקציות לגיטימיות לצ׳ט מוצפן – האפליקציות הזדוניות הן FlyGram ו-Signal Plus Messenger.
התוקפים הצליחו להטמיע את היכולות באפליקציות המזויפות באמצעות שינוי הקוד הפתוח באפליקציות והוספת קוד זדוני אליהן. Signal Plus Messenger היא המקרה המתועד הראשון של ריגול אחרי התקשורת ב-Signal של קורבן; אלפי משתמשים הורידו את אפליקציות הריגול. נתוני הטלמטריה של ESET דיווחו על זיהויים במכשירי אנדרואיד בחלק ממדינות האיחוד האירופי, בארה״ב, באוקראינה ובמקומות נוספים ברחבי העולם. שתי האפליקציות הוסרו מ-Google Play מאוחר יותר.
״קוד זדוני ממשפחת BadBazaar הוחבא בגרסאות הנגועות של אפליקציות Signal ו-Telegram, המספקות לקורבנות חוויה של אפליקציה רגילה אך למעשה כוללת פעילות רקע של ריגול״, אומר לוקאס סטפנקו, אחד מחוקרי ESET, שאחראי על התגלית הזו. ״המטרה העיקרית של BadBazaar היא הדלפת מידע מהמכשיר, רשימת אנשי הקשר, יומני השיחות ורשימת האפליקציות המותקנות, ולרגל אחרי הודעות ב-Signal באמצעות קישור חשאי בין אפליקציית Signal Plus Messenger ובין המכשיר של התוקף״, הוא מוסיף.
נתוני הטלמטריה של ESET מדווחים על זיהויים מאוסטרליה, ברזיל, דנמרק, הרפובליקה הדמוקרטית של קונגו, גרמניה, הונג קונג, הונגריה, ליטא, הולנד, פולין, פורטוגל, סינגפור, ספרד, אוקראינה, ארה״ב ותימן.
כשותפה ב-ESET ,Google App Defense Alliance זיהתה את הגרסאות האחרונות שלSignal Plus Messenger כזדוניות ושיתפה את הממצאים עם גוגל באופן מיידי. בעקבות ההתראה שלנו, האפליקציה נמחקה מהחנות. שתי האפליקציות נוצרו ע״י אותו הגורם וחולקים מאפיינים זדוניים דומים, ותיאורי האפליקציות בשתי החנויות מפנות לאתר מפתח זהה.
לאחר ההפעלה הראשונית של האפליקציה, המשתמש נדרש להיכנס ל-Signal Plus Messenger באמצעות חשבון Signal לגיטימי, בדיוק באותו האופן בו יעשו עם אפליקציית Signal הרשמית. לאחר ההתחברות, Signal Plus Messenger מתחילה לתקשר עם שרת השליטה והבקרה. Signal Plus Messenger יכולה לרגל אחרי ההודעות הנשלחות ב-Signal באמצעות ניצול לרעה של אפשרות ״חיבור מכשיר״. היא עושה זאת באמצעות חיבור אוטומטי בין המכשיר המותקף ובין מכשיר ה-Signal של התוקף. שיטת הריגול הזו היא ייחודית – חוקרי ESET לא ראו ניצול לרעה של הפונקציה הזאת באף נוזקה אחרת, וזו הדרך היחידה בה תוקף יכול לקבל את תוכן ההודעות ב-Signal. גוף המחקר של ESET הודיע למפתחי Signal על הפרצה הזו.
באפליקציית הטלגרם המזויפת, FlyGram, הקורבן נדרש להתחבר באמצעות חשבון הטלגרם הלגיטימי שלו, כפי שהוא נדרש לעשות באפליקציית טלגרם הרשמית. לפני סיום ההתחברות, FlyGram מתחילה לתקשר עם שרת השליטה והבקרה, ו-BadBazaar מקבלת את היכולת להדליף מידע רגיש מהמכשיר. FlyGram יכולה לגשת לגיבויים של Telegram אם המשתמש הפעיל אפשרות ספציפית שנוספה ע״י התוקפים; האפשרות הזו הופעלה ע״י 13,953 חשבונות לפחות. ייתכן ששרת הפרוקסי של התוקף יכול לתעד מידע היקפי (metadata) בהיקף מסוים, אך הוא אינו יכול לפענח את ההצפנה של הנתונים וההודעות שהועברו בטלגרם עצמה.
בניגוד ל-Signal Plus Messenger, ל-FlyGram אין יכולת לקשר בין חשבון טלגרם ובין התוקף, או ליירט את התקשורת המוצפנת של קורבנותיה.