В Google Play Store и Samsung Galaxy Store са проникнали фалшификати на Telegram и Signal
Фалшиви приложения, представящи се за известните месинджъри Signal и Telegram са открити в Гугъл Play Store и Samsung Galaxy Store. Тези злонамерени приложения могат да прихващат известия и друга сензитивна информация от потребителските сметки.
Изследователи откриха, че приложението, наречено Signal Plus Messenger е било налично в Гугъл Play Store в продължение на 9 месеца и е било изтеглено към 100 пъти, преди Гугъл да го отстрани през април предходната година. Това е станало, откакто зловредното приложение е било докладвано от ESET – компания, профилирана в създаването на антивирусен програмен продукт и решения за осведомителна сигурност.
Подобно приложение, наречено FlyGram е основано от същата хакерска формация и също е било налично посредством Гугъл Play Store, Samsung Galaxy Store и личния ѝ уеб страница. Въпреки че са отстранени от Гугъл Play Store, и двете приложения към момента са налични в магазина за приложения на Samsung.
Зловредните приложения са основани на отворения код на Signal и Telegram. В този код е бил вграден шпионски инструмент, прочут като BadBazaar. Този троянец е обвързван с хакерската формация GREF, за която се счита, че е обвързвана с Китай. BadBazaar и преди е бил употребен за офанзиви против уйгури (тюркска националност, обитаваща Северозападен Китай) и други тюркски етнически малцинства.
Signal Plus Messenger може да наблюдава изпратени и получени известия и контакти, в случай че потребителите свържат устройството си с същинския си номер. Поради това злонамереното приложение изпраща на хакерите огромно количество персонална информация, в това число IMEI-я на устройството, телефонния номер, MAC адреса, данните на оператора, данните за местоположението, Wi-Fi информацията, имейл адреса, листата с контакти и ПИН кода, употребен за изпращане на известия.
„ Signal Plus Messenger може да шпионира известията в Signal, като злоупотребява с функционалността за свързване на устройства. Този способ на шпиониране е неповторим, защото до момента не сме срещали сходна корист от различен злотворен програмен продукт. BadBazaar заобикаля общоприетото сканиране на QR кодове, като получава нужния URI от своя сървър за командване и ръководство (C&C), което разрешава на нападателите скрито да свържат устройството на жертвата със своето устройство. “
пише Лукаш Стефанко, откривател от ESET
Единственият метод да не станете жертва на подправен Signal, или на което и да е друго злонамерено приложение за известия е да изтегляте единствено публични версии на такива приложения, единствено от публични канали.
