Aplicativos Signal e Telegram adulterados contendo o spyware BadBazaar foram enviados para o Google Play e Samsung Galaxy Store por um grupo de hackers chinês conhecido como APT GREF.
Este malware foi usado anteriormente para atingir minorias étnicas na China, mas a telemetria da ESET mostra que, desta vez, os atacantes alvejam usuários na Ucrânia, Polônia, Holanda, Espanha, Portugal, Alemanha, Hong Kong e Estados Unidos.
As capacidades do BadBazaar incluem rastreamento da localização precisa do dispositivo, roubo de registros de chamadas e SMS, gravação de chamadas telefônicas, tomada de fotos usando a câmera, exfiltração de listas de contatos e roubo de arquivos ou bancos de dados.
Os aplicativos trojanizados contendo código BadBazaar foram descobertos pelo pesquisador da ESET, Lukas Stefanko.
Os dois aplicativos que o GREF usou em sua campanha são chamados 'Signal Plus Messenger' e 'FlyGram', ambos são versões corrigidas dos populares aplicativos de mensagens instantâneas de código aberto Signal e Telegram.
Os agentes de ameaças também criaram sites dedicados em "signalplus[.]org" e "flygram[.]org" para agregar legitimidade à campanha de malware, oferecendo links para instalar o aplicativo a partir do Google Play ou diretamente do site.
A ESET informa que o FlyGram visa dados sensíveis como listas de contatos, registros de chamadas, Contas Google e dados de WiFi e também oferece um recurso de backup perigoso que envia dados de comunicação do Telegram para um servidor controlado pelo atacante.
Análise dos dados disponíveis mostra que pelo menos 13.953 usuários do FlyGram ativaram este recurso de backup, mas o número total de usuários do aplicativo de spyware é indefinido.
O clone do Signal coleta informações semelhantes, mas se concentra mais em extrair informações específicas do Signal, como as comunicações da vítima e o PIN que protege sua conta de acessos não autorizados.
No entanto, o aplicativo falso do Signal inclui um recurso que torna o ataque mais interessante, pois permite ao invasor vincular as contas do Signal da vítima a dispositivos controlados pelo invasor, para que os invasores possam ver as futuras mensagens de chat.
O Signal inclui um recurso baseado em código QR que permite vincular vários dispositivos a uma única conta, para que as mensagens de chat possam ser vistas de todos eles.
O malicioso Signal Plus Messenger abusa deste recurso ignorando o processo de vinculação do código QR e vinculando automaticamente seus próprios dispositivos às contas do Signal das vítimas sem que elas saibam.
Isso permite que os atacantes monitorem todas as futuras mensagens enviadas da conta do Signal.
"BadBazaar, o malware responsável pela espionagem, contorna o usual escaneamento de código QR e o processo de click do usuário recebendo o URI necessário de seu servidor C&C, e aciona diretamente a ação necessária quando o botão Link device é clicado", explica a ESET.
"Isso permite que o malware vincule secretamente o smartphone da vítima ao dispositivo do invasor, permitindo que eles espionem as comunicações do Signal sem o conhecimento da vítima, como ilustrado na Figura 12."
A ESET diz que esse método de espionagem no Signal já foi usado antes, já que é a única forma de obter o conteúdo das mensagens do Signal.
Para descobrir se dispositivos invasores estão vinculados à sua conta do Signal, inicie o aplicativo Signal real, vá em Configurações e toque na opção "Devices linked" para visualizar e gerenciar todos os dispositivos conectados.
O FlyGram foi enviado para o Google Play em julho de 2020 e foi removido em 6 de janeiro de 2021, tendo acumulado um total de 5.000 instalações através desse canal.
Signal Plus Messenger foi enviado para o Google Play e Samsung Galaxy store em julho de 2022, e o Google o removeu em 23 de maio de 2023.
No momento da escrita deste texto, a BleepingComputer confirmou que ambos os aplicativos ainda estavam disponíveis na Samsung Galaxy Store.
Os usuários do Android são aconselhados a usar as versões originais de Signal e Telegram e a evitar o download de aplicativos alternativos que prometem maior privacidade ou recursos adicionais, mesmo se estiverem disponíveis em lojas de aplicativos oficiais.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...