Inicio /APLICACIONES TROYANIZADAS DE TELEGRAM Y SIGNAL DISTRIBUYEN EL CÓDIGO ESPÍA BADBAZAAR ENTRE USUARIOS DE ANDROID

APLICACIONES TROYANIZADAS DE TELEGRAM Y SIGNAL DISTRIBUYEN EL CÓDIGO ESPÍA BADBAZAAR ENTRE USUARIOS DE ANDROID

Enviado por csirtutpl el Lun, 09/04/2023 - 00:27

Los investigadores de ESET han identificado dos campañas activas dirigidas a usuarios de Android, donde los actores de amenazas detrás de la herramienta se atribuyen al grupo APT (Advanced Persistent Threat) GREF, alineado con China. Probablemente activas desde julio de 2020 y julio de 2022, las campañas distribuyeron el código de espionaje de Android BadBazaar a través de Google Play Store, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram. Los actores de la amenaza parchearon las apps de código abierto Signal y Telegram para Android con el código malicioso que identificamos como BadBazaar

 Puntos clave del informe:

  •         ESET Research descubrió aplicaciones troyanizadas de Signal y Telegram para Android, llamadas Signal Plus Messenger y FlyGram, en Google Play y Samsung Galaxy Store; ambas aplicaciones fueron eliminadas posteriormente de Google Play.
  •         El código malicioso encontrado en estas aplicaciones se atribuye a la familia de malware BadBazaar, que ha sido utilizada en el pasado por un grupo APT alineado con China llamado GREF.
  •         El malware BadBazaar se ha utilizado anteriormente contra uigures y otras minorías étnicas turcas. El malware FlyGram también fue visto compartido en un grupo uigur de Telegram, lo que coincide con anteriores ataques de la familia de malware BadBazaar.
  •         FlyGram puede acceder a las copias de seguridad de Telegram si el usuario activa una función específica añadida por los atacantes; la función fue activada por al menos 13.953 cuentas de usuario.
  •         Signal Plus Messenger representa el primer caso documentado de espionaje de las comunicaciones Signal de una víctima mediante el enlace automático secreto del dispositivo comprometido al dispositivo Signal del atacante.

Basándonos en nuestra telemetría, pudimos identificar campañas activas de Android en las que un atacante subió y distribuyó aplicaciones maliciosas que responden a los nombres de Signal Plus Messenger y FlyGram a través de Google Play Store, Samsung Galaxy Store y sitios web dedicados, imitando la aplicación Signal (signalplus[.]org) y una aplicación alternativa de Telegram (flygram[.]org).

El objetivo de estas aplicaciones troyanizadas es filtrar datos de los usuarios. En concreto, FlyGram puede extraer información básica del dispositivo, pero también datos sensibles, como listas de contactos, registros de llamadas y la lista de cuentas de Google.

Además, la aplicación es capaz de filtrar cierta información y configuraciones relacionadas con Telegram; sin embargo, estos datos no incluyen la lista de contactos de Telegram, mensajes o cualquier otra información sensible.

No obstante, si los usuarios activan una función específica de FlyGram que les permite realizar copias de seguridad y restaurar los datos de Telegram en un servidor remoto controlado por los atacantes, el actor de la amenaza tendrá acceso completo a estas copias de seguridad de Telegram, no solo a los metadatos recopilados.

Es importante tener en cuenta que estas copias de seguridad no contienen mensajes reales. Durante el análisis de esta característica, nos dimos cuenta de que el servidor asigna un ID único a cada cuenta de usuario recién creada. Este ID sigue un patrón secuencial, lo que indica que un mínimo de 13.953 cuentas de FlyGram habían activado esta función.

Signal Plus Messenger recopila datos de dispositivos e información sensible similares; su principal objetivo, sin embargo, es espiar las comunicaciones Signal de la víctima: puede extraer el número PIN de Signal que protege la cuenta Signal y hace un uso indebido de la función de enlace de dispositivos que permite a los usuarios vincular Signal Desktop y Signal iPad a sus teléfonos. Este método de espionaje destaca por su singularidad, ya que difiere de la funcionalidad de cualquier otro malware conocido

Conclusión

Dos campañas activas de Android operadas por el grupo GREF APT distribuyeron el malware para Android llamado BadBazaar a través de dos aplicaciones de la tienda oficial Google Play, y todavía lo distribuye a través de Samsung Galaxy Store, tiendas de aplicaciones alternativas y sitios web dedicados. También se compartió un enlace a FlyGram en la tienda Google Play en un grupo uigur de Telegram. El código malicioso de la familia BadBazaar se ocultaba en aplicaciones troyanizadas de Signal y Telegram, que deberían proporcionar a las víctimas una experiencia de aplicación funcional (sin motivo para eliminarla), pero con espionaje en segundo plano.

El objetivo principal de BadBazaar es filtrar información del dispositivo, la lista de contactos, los registros de llamadas y la lista de aplicaciones instaladas, así como espiar los mensajes de Signal vinculando secretamente la aplicación Signal Plus Messenger de la víctima al dispositivo del atacante.

Tags: 
#UTPLCuidaTuInformación #CiberSeguridadUTPL #UTPL #Loja #Ecuador

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones