Ricercatori nel campo della cybersecurity hanno identificato app Android malevola per Signal e Telegram distribuite attraverso il Google Play Store e il Samsung Galaxy Store. Queste app sono state progettate per distribuire lo spyware BadBazaar sui dispositivi infettati.
Dettagli sullo spyware e sulle app
La società slovacca ESET ha attribuito la campagna a un attore collegato alla Cina chiamato GREF. Queste campagne, attive molto probabilmente dal luglio 2020 e dal luglio 2022, hanno distribuito il codice spia Android BadBazaar attraverso il Google Play Store, il Samsung Galaxy Store e siti web dedicati che rappresentano le app malevolente Signal Plus Messenger e FlyGram. Le vittime sono state principalmente individuate in Germania, Polonia e Stati Uniti, seguite da altri paesi come Ucraina, Australia, Brasile e altri.
BadBazaar e la comunità Uyghur
BadBazaar è stato documentato per la prima volta da Lookout nel novembre 2022 come uno strumento mirato alla comunità Uyghur in Cina. Queste app, apparentemente innocue, una volta installate, raccolgono una vasta gamma di dati, tra cui registri delle chiamate, messaggi SMS, posizioni e altro.
Dettagli delle app false Le app in questione sono:
- Signal Plus Messenger: disponibile dal luglio 2022 con oltre 100 download.
- FlyGram: disponibile dal giugno 2020 con oltre 5.000 download.
Entrambe le app sono state progettate per raccogliere ed esfiltrare dati sensibili degli utenti. In particolare, Signal Plus Messenger rappresenta il primo caso documentato di sorveglianza delle comunicazioni Signal di una vittima, collegando segretamente il dispositivo compromesso all’account Signal dell’attaccante senza richiedere alcuna interazione da parte dell’utente.
Conclusione e avvertimenti
ESET ha sottolineato che, nonostante le segnalazioni precedenti, sta continuando a monitorare GREF come un cluster separato, citando la mancanza di prove definitive. L’obiettivo principale di BadBazaar è esfiltrare informazioni dal dispositivo, la lista dei contatti, i registri delle chiamate e la lista delle app installate, e condurre attività di spionaggio sui messaggi Signal collegando segretamente l’app Signal Plus Messenger della vittima al dispositivo dell’attaccante.