Новости Китайский шпион в вашем кармане: как хакеры GREF следят за пользователями Signal и Telegram

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Точно ли ваш мессенджер – не подделка?


ekncl76kygis49nutvtj5ufyyeue2bp5.jpg


Исследователи кибербезопасности из компании ESET Для просмотра ссылки Войди или Зарегистрируйся две шпионские кампании, в которых злоумышленники использовали поддельные версии Signal и Telegram . Целями стали пользователи Android в США и Европе.

Эксперты считают, что к делу причастна китайская группировка GREF. Фальшивые приложения были размещены в Google Play и Samsung Galaxy Stores. Они активно распространялись с июля 2020 по июль 2022 года.

По словам ESET, мессенджеры успели загрузить тысячи человек. Хакеры назвали их «Signal Plus Messenger» и «FlyGram». Наибольшее количество скачиваний зарегистрировано в США, в нескольких странах ЕС и в Украине.


gdqno2dzpeztrp77esmzcq42f2k6n0wf.png


Лукаш Штефанко, автор исследования, объяснил, что приложения поддерживали все функции своих легальных аналогов, но с развертыванием шпионского ПО в фоновом режиме. Вредоносный код, который интегрирован в зашифрованные мессенджеры, специалисты идентифицировали как BadBazaar.

Штефанко уточяет: основная задача BadBazaar — извлечь информацию об устройстве, списке контактов, журнале вызовов и установленных приложениях. Сами чаты тоже просматривались.

Это первый зафиксированный случай шпионажа через Signal, при котором скомпрометированное устройство автоматически связывалось с сервером управления и командования.


uhzc8nef6jasprmtwgnmfzho16w17h3d.png


Пользователям Telegram повезло больше — хакерам не удалось привязать FlyGram к оригинальным аккаунтам. Следовательно, перехватывать зашифрованные сообщения они не смогли, зато собрать информацию об устройствах все же получилось. Помогло резервное копирование – функция, которую жертва должна была самостоятельно активировать в FlyGram. ESET выявила около 14 тысяч таких пользователей.

Раньше группа GREF применяла BadBazaar против уйгуров и других тюркских этнических меньшинств за пределами Китая. Этот факт подтверждает, что ПО эффективно для слежки и сбора конфиденциальных данных.

Google уже удалил оба приложения из Play Store, но другие сайты могут продолжать их хостинг.

ESET – часть инициативы Google App Defense Alliance, которая расследует различные атаки на приложения для мобильных устройств на базе Android.
 
Источник новости
www.securitylab.ru

Похожие темы