ESET varuje pred dvoma špionážnymi kampaňami: Pozor, škodlivý kód sa schováva za populárne četovacie aplikácie!
Hackeri vytvorili aplikácie, ktoré pripomínajú známe aplikácie Signal a Telegram. Dávajte si na ne pozor, ide o špehovacie nástroje.
Bezpečnostní analytici z ESETu odhalili dve aktívne hackerské kampane, ktoré cielia na majiteľov Android zariadení. Nástroj, ktorý kyberzločinci používajú, sa viaže na hackerskú skupinu GREF s väzbami na Čínu.
Experti v tomto prípade predpokladajú, že jedna kampaň funguje už od júla 2020 a tá druhá od júla 2022. Hackeri cez Obchod Play, Samsung Galaxy Store a rôzne podvodné webstránky šíria špionážny softvér BadBazaar. Tento druh malvéru šírili cez falošné aplikácie Signal Plus Messenger a FlyGram, ktoré sa vydávali za populárne četovacie aplikácie Signal a Telegram.
Hlavným cieľom týchto falošných aplikácií je získať prístup k užívateľským dátam a následne ich posielať na servery útočníkov. Aplikácie dokážu získať základné informácie o zariadení, spolu s citlivými dátami ako uložené kontakty, záznamy hovorov a zoznam Google účtov. Aplikácia FlyGram, ktorá napodobňuje Telegram, dokáže útočníkom poslať aj dáta niektorých nastavení originálnej aplikácie.
FlyGram ponúka možnosť aktivovať si zálohu a obnovenie dát z Telegramu. Ak sa užívateľ rozhodne túto možnosť aktivovať, potom získavajú útočníci prístup ku všetkým zálohám Telegramu. Bezpečnostní analytici vysvetľujú, že v týchto zálohách sa neukrývajú správy, ktoré ste cez aplikáciu poslali alebo prijali. Počas analýzy si experti všimli, že zapnutie tejto funkcie pridelí obeti útoku jedinečný ID kód. Na základe toho vedia, že si funkciu aktivovalo takmer 14-tisíc FlyGram účtov.
Falošná aplikácia Signal Plus Messenger zbiera podobné dáta ako FlyGram. V tomto prípade sa však hlavný cieľ aplikácie mení. FlyGram získaval užívateľské dáta a posielal ich útočníkom, Signal Plus Messenger však špehuje na komunikáciu obete v legitímnej aplikácii Signal. Dokáže ukradnúť PIN kód, ktorý chráni účet. Zároveň zneužíva funkciu, ktorá umožňuje užívateľom prepojiť Signal aplikácie na PC a iPade so smartfónom. Bezpečnostní experti podotýkajú, že ide o jedinečnú špehovaciu metódu, ktorá vyniká medzi podobnými malvérmi.
Neprehliadnite
Pozor! Aplikácie stále nájdete na internete
ESET už zdieľal svoje zistenia s Googlom a spoločnosť škodlivú aplikáciu Signal Plus Messenger stiahla. V čase keď sa FlyGram objavila v Obchode Play nebola označená ako škodlivá. V Obchode Play už tieto dve škodlivé aplikácie nenájdete, no stále sú dostupné v Samsung Galaxy Store, preto si na ne dávajte pozor.
Obe aplikácie vytvoril rovnaký vývojár a zdieľajú rovnaké škodlivé vlastnosti. Zároveň si bezpečnostní experti všimli, že popis aplikácií v oboch prípadoch odkazuje na rovnakú webovú stránku. Doména “Signalplus” bola registrovaná 15. Februára 2022 a poskytuje možnosť stiahnuť si Signal Plus Messenger z Obchodu Play alebo priamo z ich webovej stránky.
Nech si však aplikáciu stiahnete odkiaľkoľvek, vo všetkých prípadoch dostanete modifikovanú verziu open-source aplikácie Signal, ktorá obsahuje malvér. Open-source aplikácie sú také, ktoré majú voľne publikovaný kód, na ktorom môžu ďalší vývojári stavať a pridávať nové funkcie. Hackeri častokrát berú open-source aplikácie, trošku ich upravia a do kódu vložia nejaký druh malvéru. Následne aplikáciu pod podobným názvom distribuujú cez rôzne obchody s aplikáciami.
Komentáre