危险!虚假信号和电报应用程序包含Google Play商店上的Kejam Nangkring间谍软件

雅加达 - 伪装成Signal和Telegram的假应用程序被Google Play商店和三星Galaxy商店的研究人员发现,该商店包含BadBazaar间谍软件。

BadBazaar本身有能力准确跟踪设备的位置,窃取通话日志或短信,录制电话,使用相机拍照,过滤联系人列表以及窃取文件或数据库。

此前,此类恶意软件曾被用来针对中国少数民族群体,但这一次,安全公司ESET的研究员Lukas Stefanko在乌克兰,波兰,荷兰,西班牙,葡萄牙,德国,香港和美国(US)发现了针对用户的攻击者。

Signal Plus Messenger 的名称列出的两个虚假应用程序,在 Google 于4月通知 ESET 后将其删除之前,已下载了大约100次。

它还在三星的应用商店和模仿官方 Signal.org 的特殊网站 signalplusdotorg 上提供。还有一个名为FlyGram的Telegram虚假应用程序,已下载了5000次,并由相同的威胁肇事者创建,并通过三个相似的频道提供。

谷歌将其从2021年删除。但是,这两个应用程序仍然在三星Galaxy Store上可用。从研究结果来看,Signal Plus Messenger和FlyGram是根据Signal和原始Telegram提供的开源代码创建的。复制到代码是BadBazaar。

FlyGram 恶意软件也被共享在维吾尔族Telegram群组中。该应用程序针对敏感数据,如联系人列表,通话日志,Google帐户,WiFi数据,并提供恶意备份功能,将Telegram通信数据传输到攻击者控制的服务器。

虽然Signal Plus Messenger,但如果人们将受感染的设备连接到其Signal有效号码,则可以监控发送和接收的消息和联系人,例如通常有人在设备上首次安装应用程序。

这导致虚假应用程序向攻击者传输了一些个人信息,包括设备的IMEI号码、电话号码、MAC地址、操作员详细信息、位置数据、Wi-Fi信息、Google帐户的电子邮件、联系人列表和PIN,如果用户设置了文本传输,则用于传输文本。

「Signal Plus Messenger 可以通过滥用链接设备功能来监视 Signal 消息。这是通过自动将受损设备连接到攻击性信号设备来完成的,“Stefanko说,引自 ArsTechnica 和 BleepingComputer,8月31日星期四。

“这种间谍方法是独一无二的,因为我们从未见过其他恶意软件以前滥用过此功能,这是攻击者用来获取Signal消息内容的唯一方法,”他补充说。

Stefanko解释说,BadBazaar可以通过从其C&C 服务器接收UI来绕过通常的QR码扫描和用户点击过程,并在点击设备链接按钮时立即触发必要的操作。

“这使得恶意软件能够秘密将受害者的智能手机连接到攻击者的设备,允许他们在受害者不知情的情况下监视Signal通信,”Stefanko说。

他补充说,在研究期间,服务器尚未返回URI以连接到设备,这表明,根据恶意软件以前发送到C&C服务器的数据,它很可能仅为特定定位的定位用户激活。

“防止成为虚假信号或其他恶意消息传递应用程序受害者的唯一方法是,只下载该应用程序的官方版本,只从官方渠道下载,”Stefanko说。