Las aplicaciones troyanizadas Signal y Telegram en Google Play entregaron software espía

Las aplicaciones troyanizadas Signal y Telegram que contienen el software espía BadBazaar fueron cargadas en Google Play y Samsung Galaxy Store por un grupo de hackers chino de APT conocido como GREF.

Este malware se utilizó anteriormente para atacar a minorías étnicas en China, pero la telemetría de ESET muestra que esta vez los atacantes se dirigen a usuarios de Ucrania, Polonia, Países Bajos, España, Portugal, Alemania, Hong Kong y Estados Unidos.

Las capacidades de BadBazaar incluyen rastrear la ubicación precisa del dispositivo, robar registros de llamadas y SMS, grabar llamadas telefónicas, tomar fotografías con la cámara, filtrar listas de contactos y robar archivos o bases de datos.

Las aplicaciones troyanizadas que contienen código BadBazaar fueron descubiertas por el investigador de ESET, Lukas Stefanko.

Las dos aplicaciones que GREF utilizó en su campaña se denominan 'Signal Plus Messenger' y 'FlyGram', y ambas son versiones parcheadas de las populares aplicaciones de mensajería instantánea de código abierto Signal y Telegram.

Los actores de amenazas también crearon sitios web dedicados en "signalplus[.]org" y "flygram[.]org" para agregar legitimidad a la campaña de malware, ofreciendo enlaces para instalar la aplicación desde Google Play o directamente desde el sitio.

ESET informa que FlyGram apunta a datos confidenciales como listas de contactos, registros de llamadas, cuentas de Google y datos WiFi y también ofrece una función de respaldo peligrosa que envía datos de comunicación de Telegram a un servidor controlado por un atacante.

El análisis de los datos disponibles muestra que al menos 13.953 usuarios de FlyGram habilitaron esta función de copia de seguridad, pero el número total de usuarios de la aplicación de software espía no está definido.

El clon de Signal recopila información similar pero se centra más en extraer información específica de Signal, como las comunicaciones de la víctima y el PIN que protege su cuenta del acceso no autorizado.

Sin embargo, la aplicación Signal falsa incluye una característica que hace que el ataque sea más interesante, ya que permite al atacante vincular las cuentas de Signal de la víctima a dispositivos controlados por el atacante para que puedan ver futuros mensajes de chat.

Signal incluye una función basada en códigos QR que le permite vincular varios dispositivos a una sola cuenta para que los mensajes de chat se puedan ver desde todos ellos.

El malicioso Signal Plus Messenger abusa de esta función al evadir el proceso de vinculación del código QR y vincular automáticamente sus propios dispositivos a las cuentas de Signal de las víctimas sin que ésta lo sepa. Esto permite a los atacantes monitorear todos los mensajes futuros enviados desde la cuenta de Signal.

"BadBazaar, el malware responsable del espionaje, evita el escaneo habitual del código QR y el proceso de clic del usuario al recibir el URI necesario de su servidor C&C y desencadenar directamente la acción necesaria cuando se hace clic en el botón Vincular dispositivo", explica ESET.

"Esto permite que el malware vincule secretamente el teléfono inteligente de la víctima al dispositivo del atacante, permitiéndole espiar las comunicaciones de Signal sin el conocimiento de la víctima, como se ilustra en la Figura 12".

ESET dice que este método de espiar Signal se ha utilizado antes porque es la única forma de obtener el contenido de los mensajes de Signal.

Para determinar si los dispositivos no autorizados están vinculados a su cuenta de Signal, inicie la aplicación Signal real, vaya a Configuración y toque la opción "Dispositivos vinculados" para ver y administrar todos los dispositivos conectados.

FlyGram se subió a Google Play en julio de 2020 y se eliminó el 6 de enero de 2021, habiendo acumulado un total de 5.000 instalaciones a través de ese canal.

Signal Plus Messenger se subió a Google Play y a la tienda Samsung Galaxy en julio de 2022, y Google lo eliminó el 23 de mayo de 2023.

Al momento de escribir esto, BleepingComputer confirmó que ambas aplicaciones todavía estaban disponibles en Samsung Galaxy Store.

Se recomienda a los usuarios de Android que utilicen las versiones originales de Signal y Telegram y eviten descargar aplicaciones bifurcadas que prometen mayor privacidad o funciones adicionales, incluso si están disponibles en las tiendas de aplicaciones oficiales.

Las aplicaciones con 1,5 millones de instalaciones en Google Play envían tus datos a China

El nuevo malware MMRat de Android utiliza el protocolo Protobuf para robar sus datos

Miles de APK de Android utilizan trucos de compresión para frustrar el análisis

MIUI de Xiaomi ahora señala a Telegram como peligroso en China

Los piratas informáticos roban datos de usuarios de Signal y WhatsApp con una aplicación de chat falsa para Android