Зловреден софтуер имитира Telegram на Android устройства
Събира данни за потребителя и ги праща към сървъра на атакуващите
Потребителите на известни месинджъри са атакувани от остроумен злотворен програмен продукт
(снимка: CC0 Public Domain)
Експерти от словашката компания за сигурност ESET откриха нов злотворен програмен продукт за Android, ориентиран към потребителите на месинджърите Signal и Telegram. Особено стеснителен за специалистите е фактът, че главният вектор на разпространяване на BadBazaar явно са законни приложения, продавани в формалните магазини на Гугъл и Samsung.
Става въпрос за компрометирани месинджър клиенти на Signal Plus Messenger и Flygram. Вторият от тях се популяризира освен посредством Гугъл Play, само че и посредством доста други канали и се популяризира като „ бърз, благонадежден, безвъзмезден и комфортен “ различен клиент за Telegram. Приложението даже имаше личен уеб страница, само че в този момент Гугъл блокира връзките към него от съображения за сигурност.
Сайтът Flygram беше индексиран за първи път от Гугъл през 2020 година и ESET има вяра, че тогава е почнала акцията за заразяване на евентуалните жертви благодарение на Flygram. Фалшивият клиент на Signal беше задействан някъде през юли 2022 година
Кампанията се организира от към този момент познатата кибер-група GREF, която е обвързвана с Китай, твърди ESET. Повечето от известните жертви са в Германия, Полша и Съединени американски щати. Засечени са също офанзиви против консуматори от Австралия, Бразилия, Унгария, Хонконг, Дания, Литва, Холандия, Португалия, Украйна и други страни.
Самият злотворен програмен продукт BadBazaar е документиран за първи път през ноември 2022 година, когато бяха разпознати хакерски атаки против членове на уйгурското малцинство в Китай. Софтуерът се популяризира под прикритието на почтени приложения за Android и iOS, които след инсталиране стартират да събират огромно количество данни за устройството и неговия консуматор, включително указател на позвъняванията, SMS известия, данни за геолокация и други
още по темата
Тази акция е почнала не по-късно от 2018 година Обикновено троянските приложения не се показваха в Гугъл Play Store по това време – жертвите явно са ги изтеглили от някои различни източници.
Но новите Signal Plus Messenger и FlyGram съумяха да обхванат в Гугъл Play и Samsung Galaxy Store. И до момента в който бяха изчистени от формалния Android магазин на Гугъл, те към момента участват в магазина на Samsung.
Signal Plus има малко над 100 изтегляния от юли 2022 година до момента. Най-вероятно разпространяването му е по-мащабно, защото, както в тази ситуация с FlyGram, това приложение има личен уеб страница. FlyGram е изтеглен минимум 5000 пъти от юни 2020 година
Освен това операторите на тези компрометирани месинджъри наподобява са разгласили връзки към тях в канал на Telegram за уйгури, където членовете на общността обменят приложения за Android. Групата има повече от 1300 консуматори, отбелязва The Hacker News.
И Signal Plus, и FlyGram събират и предават към далечен сървър огромен размер поверителна информация за устройството и неговия консуматор, както и данни от имитирани месинджъри Signal и Telegram.
Ако жертвата е имала неблагоразумието да задейства облачна синхронизация във подправени приложения, зловредният програмен продукт получава аварийни копия на предходни чатове в Telegram. Освен това има опция за достъп до PIN сигнал.
Signal Plus Messenger е първият документиран случай на подслушване на диалози в Signal на жертва посредством скрито свързване на компрометирано устройство със личния акаунт в Signal на нападателя, без да се изисква каквото и да е взаимоотношение от страна на жертвата.
„ BadBazaar, шпионски злоумишлен програмен продукт, е в положение да заобиколи естествения развой на сканиране на QR код и взаимоотношение с потребителя, като получи нужния URI от неговия надзорен сървър и непосредствено започва процедурата, която [обикновено] би трябвало да се извърши, когато щракнете върху бутона Link Device ”, разяснява Лукаш Щефанко, специалист по осведомителна сигурност в ESET.
По този метод зловредният програмен продукт е в положение да сдвои устройството на жертвата с нападателя, тъй че последният да може да шпионира диалозите в Signal без знанието на жертвата, добавя специалистът.
FlyGram, от своя страна, имплементира функционалност, наречена SSL pinning, която разрешава на псевдо-изпращача да бъде предпазен от разбор посредством вграждане на авансово дефиниран документ за сигурност в разпространяването на APK – вследствие на това са вероятни единствено криптирани връзки, предоставени с подобен документ. Ето за какво се оказва огромен проблем следенето и анализирането на трафика сред приложението и неговия сървър.
Проучване на функционалността Cloud Sync разкрива, че на всеки нов консуматор се присвоява неповторим идентификатор, чиито номера се усилват с един поредно. Въз основа на това специалистите на ESET откриват, че FlyGram с задействана функционалност за синхронизация е конфигуриран 13953 пъти (включително от чиновниците на ESET).
Потребителите на известни месинджъри са атакувани от остроумен злотворен програмен продукт
(снимка: CC0 Public Domain)
Експерти от словашката компания за сигурност ESET откриха нов злотворен програмен продукт за Android, ориентиран към потребителите на месинджърите Signal и Telegram. Особено стеснителен за специалистите е фактът, че главният вектор на разпространяване на BadBazaar явно са законни приложения, продавани в формалните магазини на Гугъл и Samsung.
Става въпрос за компрометирани месинджър клиенти на Signal Plus Messenger и Flygram. Вторият от тях се популяризира освен посредством Гугъл Play, само че и посредством доста други канали и се популяризира като „ бърз, благонадежден, безвъзмезден и комфортен “ различен клиент за Telegram. Приложението даже имаше личен уеб страница, само че в този момент Гугъл блокира връзките към него от съображения за сигурност.
Сайтът Flygram беше индексиран за първи път от Гугъл през 2020 година и ESET има вяра, че тогава е почнала акцията за заразяване на евентуалните жертви благодарение на Flygram. Фалшивият клиент на Signal беше задействан някъде през юли 2022 година
Кампанията се организира от към този момент познатата кибер-група GREF, която е обвързвана с Китай, твърди ESET. Повечето от известните жертви са в Германия, Полша и Съединени американски щати. Засечени са също офанзиви против консуматори от Австралия, Бразилия, Унгария, Хонконг, Дания, Литва, Холандия, Португалия, Украйна и други страни.
Самият злотворен програмен продукт BadBazaar е документиран за първи път през ноември 2022 година, когато бяха разпознати хакерски атаки против членове на уйгурското малцинство в Китай. Софтуерът се популяризира под прикритието на почтени приложения за Android и iOS, които след инсталиране стартират да събират огромно количество данни за устройството и неговия консуматор, включително указател на позвъняванията, SMS известия, данни за геолокация и други
още по темата
Тази акция е почнала не по-късно от 2018 година Обикновено троянските приложения не се показваха в Гугъл Play Store по това време – жертвите явно са ги изтеглили от някои различни източници.
Но новите Signal Plus Messenger и FlyGram съумяха да обхванат в Гугъл Play и Samsung Galaxy Store. И до момента в който бяха изчистени от формалния Android магазин на Гугъл, те към момента участват в магазина на Samsung.
Signal Plus има малко над 100 изтегляния от юли 2022 година до момента. Най-вероятно разпространяването му е по-мащабно, защото, както в тази ситуация с FlyGram, това приложение има личен уеб страница. FlyGram е изтеглен минимум 5000 пъти от юни 2020 година
Освен това операторите на тези компрометирани месинджъри наподобява са разгласили връзки към тях в канал на Telegram за уйгури, където членовете на общността обменят приложения за Android. Групата има повече от 1300 консуматори, отбелязва The Hacker News.
И Signal Plus, и FlyGram събират и предават към далечен сървър огромен размер поверителна информация за устройството и неговия консуматор, както и данни от имитирани месинджъри Signal и Telegram.
Ако жертвата е имала неблагоразумието да задейства облачна синхронизация във подправени приложения, зловредният програмен продукт получава аварийни копия на предходни чатове в Telegram. Освен това има опция за достъп до PIN сигнал.
Signal Plus Messenger е първият документиран случай на подслушване на диалози в Signal на жертва посредством скрито свързване на компрометирано устройство със личния акаунт в Signal на нападателя, без да се изисква каквото и да е взаимоотношение от страна на жертвата.
„ BadBazaar, шпионски злоумишлен програмен продукт, е в положение да заобиколи естествения развой на сканиране на QR код и взаимоотношение с потребителя, като получи нужния URI от неговия надзорен сървър и непосредствено започва процедурата, която [обикновено] би трябвало да се извърши, когато щракнете върху бутона Link Device ”, разяснява Лукаш Щефанко, специалист по осведомителна сигурност в ESET.
По този метод зловредният програмен продукт е в положение да сдвои устройството на жертвата с нападателя, тъй че последният да може да шпионира диалозите в Signal без знанието на жертвата, добавя специалистът.
FlyGram, от своя страна, имплементира функционалност, наречена SSL pinning, която разрешава на псевдо-изпращача да бъде предпазен от разбор посредством вграждане на авансово дефиниран документ за сигурност в разпространяването на APK – вследствие на това са вероятни единствено криптирани връзки, предоставени с подобен документ. Ето за какво се оказва огромен проблем следенето и анализирането на трафика сред приложението и неговия сървър.
Проучване на функционалността Cloud Sync разкрива, че на всеки нов консуматор се присвоява неповторим идентификатор, чиито номера се усилват с един поредно. Въз основа на това специалистите на ESET откриват, че FlyGram с задействана функционалност за синхронизация е конфигуриран 13953 пъти (включително от чиновниците на ESET).
Източник: technews.bg
КОМЕНТАРИ