Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLes applications Trojanized Signal et Telegram sur Google Play ont livré des logiciels espions
Des applications de chevaux de Troie Signal et Telegram contenant le logiciel espion BadBazaar ont été téléchargées sur Google Play et Samsung Galaxy Store par un groupe de piratage APT chinois connu sous le nom de GREF.
Ce malware était auparavant utilisé pour cibler les minorités ethniques en Chine, mais la télémétrie d'ESET montre que cette fois, les attaquants ciblent les utilisateurs en Ukraine, en Pologne, aux Pays-Bas, en Espagne, au Portugal, en Allemagne, à Hong Kong et aux États-Unis.
Les capacités de BadBazaar incluent le suivi de l'emplacement précis de l'appareil, le vol des journaux d'appels et des SMS, l'enregistrement des appels téléphoniques, la prise de photos à l'aide de l'appareil photo, l'exfiltration de listes de contacts et le vol de fichiers ou de bases de données.
Les applications trojanisées contenant le code BadBazaar ont été découvertes par le chercheur d'ESET, Lukas Stefanko.
Les deux applications utilisées par GREF dans sa campagne s'appellent « Signal Plus Messenger » et « FlyGram », toutes deux étant des versions corrigées des applications de messagerie instantanée open source populaires Signal et Telegram.
Les auteurs de la menace ont également créé des sites Web dédiés sur « signalplus[.]org » et « flygram[.]org » pour ajouter de la légitimité à la campagne malveillante, proposant des liens pour installer l'application depuis Google Play ou directement depuis le site.
ESET rapporte que FlyGram cible les données sensibles telles que les listes de contacts, les journaux d'appels, les comptes Google et les données WiFi et propose également une fonction de sauvegarde dangereuse qui envoie les données de communication Telegram à un serveur contrôlé par un attaquant.
L'analyse des données disponibles montre qu'au moins 13 953 utilisateurs de FlyGram ont activé cette fonctionnalité de sauvegarde, mais le nombre total d'utilisateurs de l'application de logiciel espion n'est pas défini.
Le clone de Signal collecte des informations similaires mais se concentre davantage sur l'extraction d'informations spécifiques à Signal telles que les communications de la victime et le code PIN qui protège son compte contre tout accès non autorisé.
Cependant, la fausse application Signal inclut une fonctionnalité qui rend l'attaque plus intéressante, car elle permet à l'attaquant de lier les comptes Signal d'une victime à des appareils contrôlés par l'attaquant afin que les attaquants puissent voir les futurs messages de discussion.
Signal inclut une fonctionnalité basée sur un code QR qui vous permet de lier plusieurs appareils à un seul compte afin que les messages de discussion puissent être vus sur chacun d'eux.
Le malveillant Signal Plus Messenger abuse de cette fonctionnalité en contournant le processus de liaison par code QR et en reliant automatiquement ses propres appareils aux comptes Signal des victimes à l'insu de la victime. Cela permet aux attaquants de surveiller tous les futurs messages envoyés depuis le compte Signal.
"BadBazaar, le malware responsable de l'espionnage, contourne le processus habituel d'analyse du code QR et de clic de l'utilisateur en recevant l'URI nécessaire de son serveur C&C et en déclenchant directement l'action nécessaire lorsque le bouton Lier l'appareil est cliqué", explique ESET.
"Cela permet au malware de relier secrètement le smartphone de la victime à l'appareil de l'attaquant, ce qui lui permet d'espionner les communications Signal à l'insu de la victime, comme l'illustre la figure 12."
ESET affirme que cette méthode d'espionnage de Signal a déjà été utilisée car c'est le seul moyen d'obtenir le contenu des messages Signal.
Pour savoir si des appareils malveillants sont liés à votre compte Signal, lancez la véritable application Signal, accédez à Paramètres et appuyez sur l'option « Appareils liés » pour afficher et gérer tous les appareils connectés.
FlyGram a été mis en ligne sur Google Play en juillet 2020 et supprimé le 6 janvier 2021, après avoir accumulé un total de 5 000 installations via ce canal.
Signal Plus Messenger a été téléchargé sur Google Play et la boutique Samsung Galaxy en juillet 2022, et Google l'a supprimé le 23 mai 2023.
Au moment d'écrire ces lignes, BleepingComputer a confirmé que les deux applications étaient toujours disponibles sur le Samsung Galaxy Store.
Il est recommandé aux utilisateurs d'Android d'utiliser les versions originales de Signal et Telegram et d'éviter de télécharger des applications fork qui promettent une confidentialité améliorée ou des fonctionnalités supplémentaires, même si celles-ci sont disponibles sur les magasins d'applications officiels.
Les applications avec 1,5 million d'installations sur Google Play envoient vos données en Chine
Le nouveau malware Android MMRat utilise le protocole Protobuf pour voler vos données