Investigadores de ciberseguridad han descubierto aplicaciones maliciosas de Android para Signal y Telegram distribuidas a través de Google Play Store y Samsung Galaxy Store que están diseñadas para entregar el software espía BadBazaar en dispositivos infectados.
La empresa eslovaca ESET atribuyó la campaña a un actor vinculado a China llamado GREF.
«Las campañas, probablemente activas desde julio de 2020 y desde julio de 2022, respectivamente, han distribuido el código de espionaje de Android BadBazaar a través de la tienda Google Play, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram», afirma el investigador de seguridad Lukáš Stefanko dicho en un nuevo informe compartido con The Hacker News.
Las víctimas se han detectado principalmente en Alemania, Polonia y Estados Unidos, seguidos de Ucrania, Australia, Brasil, Dinamarca, Congo-Kinshasa, Hong Kong, Hungría, Lituania, Países Bajos, Portugal, Singapur, España y Yemen.
Lookout documentó por primera vez que BadBazaar se dirigía a la comunidad uigur en China en noviembre de 2022 con aplicaciones aparentemente benignas para Android e iOS que, una vez instaladas, recopilan una amplia gama de datos, incluidos registros de llamadas, mensajes SMS, ubicaciones y otros.
La campaña anterior, activa desde al menos 2018, también se destaca por el hecho de que las aplicaciones maliciosas de Android nunca se publicaron en Play Store. Desde entonces, ambas aplicaciones han sido eliminadas de la tienda de aplicaciones de Google, pero siguen estando disponibles en Samsung Galaxy Store.
Los detalles de las aplicaciones son los siguientes:
- Signal Plus Messenger (org.thinktcrime.securesmsplus): más de 100 descargas desde julio de 2022, también disponible a través de signalplus[.]organización
- FlyGram (org.telegram.FlyGram): más de 5000 descargas desde junio de 2020, también disponible a través de flygram[.]organización
Más allá de estos mecanismos de distribución, se dice que es probable que las víctimas potenciales también hayan sido engañadas para que instalen las aplicaciones de un grupo uigur de Telegram centrado en compartir aplicaciones de Android. El grupo tiene más de 1.300 miembros.
Tanto Signal Plus Messenger como FlyGram están diseñados para recopilar y filtrar datos confidenciales del usuario, y cada aplicación se dedica a acumular también información de las respectivas aplicaciones que imitan: Signal y Telegram.
Esto incluye la capacidad de acceder al PIN de Signal y a las copias de seguridad del chat de Telegram si la víctima habilita una función de sincronización en la nube desde la aplicación troyanizada.
En lo que es un giro novedoso, Signal Plus Messenger representa el primer caso documentado de vigilancia de las comunicaciones de Signal de una víctima al vincular de forma encubierta el dispositivo comprometido a la cuenta de Signal del atacante sin requerir ninguna interacción del usuario.
«BadBazaar, el malware responsable del espionaje, evita el proceso habitual de escaneo de códigos QR y clic del usuario al recibir el URI necesario de su [command-and-control] servidor, y desencadenar directamente la acción necesaria cuando el Dispositivo de enlace se hace clic en el botón», explicó Štefanko.
«Esto permite que el malware vincule secretamente el teléfono inteligente de la víctima con el dispositivo del atacante, permitiéndole espiar las comunicaciones de Signal sin el conocimiento de la víctima».
FlyGram, por su parte, también implementa una función llamada Fijación SSL para evadir el análisis incrustando el certificado dentro del archivo APK de modo que solo se permita la comunicación cifrada con el certificado predefinido, lo que dificulta la interceptación y el análisis del tráfico de red entre la aplicación y su servidor.
Un examen de la función Cloud Sync de la aplicación ha revelado además que a cada usuario que se registra en el servicio se le asigna una identificación distinta que se incrementa secuencialmente. Se estima que 13.953 usuarios (incluido ESET) instalaron FlyGram y activaron la función Cloud Sync.
ESET dijo que continúa rastreando a GREF como un grupo separado a pesar de informes previos de fuente abierta que conectan al grupo con APT15, citando falta de evidencia definitiva.
«El objetivo principal de BadBazaar es extraer información del dispositivo, la lista de contactos, los registros de llamadas y la lista de aplicaciones instaladas, y realizar espionaje de los mensajes de Signal vinculando en secreto la aplicación Signal Plus Messenger de la víctima al dispositivo del atacante», dijo Štefanko.