Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про поширення підробних додатків Telegram і Signal, ціллю яких є шпигунство за жертвами. За даними телеметрії ESET, зразки виявлені на пристроях Android в Україні, кількох країнах ЄС, США та інших країнах.
Небезпечні програми уже завантажили тисячі користувачів. Шпигунські додатки поширювалися через магазини Google Play, Samsung Galaxy Store і спеціалізовані вебсайти.
Підробні версії на додаток до функціоналу програм Signal і Telegram мають ще й доданий зловмисниками шкідливий код. Шпигунські програми отримали назви FlyGram і Signal Plus Messenger. Перша поширювалася з липня 2020 року, друга — з липня 2022 року. При цьому, Signal Plus Messenger — це перший зафіксований випадок шпигунства за повідомленнями користувачів Signal. Пізніше обидва додатки було видалено з Google Play. Ця небезпечна активність пов’язана з китайською APT-групою GREF.
«Шкідливий код із сімейства BadBazaar був прихований у підробних програмах Signal і Telegram, які мають увесь звичний функціонал, а шпигунство відбувається у фоновому режимі, — розповідає Лукаш Штефанко, дослідник ESET. — Основною ціллю BadBazaar є отримання інформації про пристрій, список контактів, журнали викликів і список встановлених програм, а також здійснення шпигунства за повідомленнями Signal шляхом прихованого з’єднання програми Signal Plus Messenger з пристроєм зловмисника».
За даними телеметрії ESET, загрози виявлені в Австралії, Бразилії, Данії, Демократичній Республіці Конго, Німеччині, Гонконгу, Угорщині, Литві, Нідерландах, Польщі, Португалії, Сінгапурі, Іспанії, Україні, США та Ємені.
Рис.1. Дані телеметрії ESET щодо виявлення підробних програм
Як партнер Google App Defense Alliance компанія ESET одразу після виявлення шкідливого додатка Signal Plus Messenger негайно поділилася своїми висновками з Google. Після цього додаток було видалено з магазину. Обидві програми були створені одним розробником і мають однакові шкідливі функції, а описи програм в обох магазинах посилаються на той самий вебсайт розробника.
Після початкового запуску програми користувач має увійти в Signal Plus Messenger, так само як і в офіційній програмі Signal для Android. Після входу в систему Signal Plus Messenger починає обмінюватися даними зі своїм командним сервером (C&C). Signal Plus Messenger може шпигувати за повідомленнями, несанкціоновано використовуючи функцію «Прив’язані пристрої». Це робиться шляхом автоматичного підключення скомпрометованого пристрою до пристрою зловмисника.
Цей метод шпигунства є унікальним, оскільки дослідники ESET раніше не фіксували використання цієї функції зловмисниками. Також це єдиний метод, за допомогою якого зловмисник може отримати доступ до вмісту повідомлень месенджера. Дослідники ESET повідомили розробників Signal про цей метод.
У випадку з фальшивим додатком Telegram, а саме FlyGram, жертва має увійти в систему, як цього вимагає офіційна програма Telegram. Ще до завершення входу FlyGram починає обмінюватися даними з командним сервером, і BadBazaar отримує можливість перехоплювати конфіденційну інформацію з пристрою. FlyGram може отримати доступ до резервних копій Telegram, якщо користувач увімкнув певну функцію, додану зловмисниками. Функція була активована принаймні 13 953 обліковими записами користувачів.
Проксі-сервер зловмисника може реєструвати деякі метадані, але він не може розшифрувати фактичні дані та повідомлення, якими обмінюються в самому Telegram. На відміну від месенджера Signal Plus, у FlyGram немає можливості пов’язати обліковий запис Telegram із зловмисником або перехопити зашифровані повідомлення його жертв.
У зв’язку з небезпекою подальшого поширення небезпечних програм спеціалісти ESET рекомендують завантажувати програми з офіційних магазинів, слідкувати за дозволами, які ви надаєте програмам, та встановити рішення для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз.