Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • BadBazaar, software espía para Android vinculado a China dirigido a usuarios de Signal y Telegram
  • Tecnología

BadBazaar, software espía para Android vinculado a China dirigido a usuarios de Signal y Telegram

teknomers 30 de Ağustos de 2023 (Last updated: 30 de Ağustos de 2023) 4 minutes read
BadBazaar, software espía para Android vinculado a China dirigido a


30 de agosto de 2023THNSeguridad Móvil/Privacidad

Investigadores de ciberseguridad han descubierto aplicaciones maliciosas de Android para Signal y Telegram distribuidas a través de Google Play Store y Samsung Galaxy Store que están diseñadas para entregar el software espía BadBazaar en dispositivos infectados.

La empresa eslovaca ESET atribuyó la campaña a un actor vinculado a China llamado GREF.

“Las campañas, probablemente activas desde julio de 2020 y desde julio de 2022, respectivamente, han distribuido el código de espionaje de Android BadBazaar a través de la tienda Google Play, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram”, afirma el investigador de seguridad Lukáš Stefanko dicho en un nuevo informe compartido con The Hacker News.

Las víctimas se han detectado principalmente en Alemania, Polonia y Estados Unidos, seguidos de Ucrania, Australia, Brasil, Dinamarca, Congo-Kinshasa, Hong Kong, Hungría, Lituania, Países Bajos, Portugal, Singapur, España y Yemen.

Lookout documentó por primera vez que BadBazaar se dirigía a la comunidad uigur en China en noviembre de 2022 con aplicaciones aparentemente benignas para Android e iOS que, una vez instaladas, recopilan una amplia gama de datos, incluidos registros de llamadas, mensajes SMS, ubicaciones y otros.

La campaña anterior, activa desde al menos 2018, también se destaca por el hecho de que las aplicaciones maliciosas de Android nunca se publicaron en Play Store. Desde entonces, ambas aplicaciones han sido eliminadas de la tienda de aplicaciones de Google, pero siguen estando disponibles en Samsung Galaxy Store.

La seguridad cibernética

Los detalles de las aplicaciones son los siguientes:

  • Signal Plus Messenger (org.thinktcrime.securesmsplus): más de 100 descargas desde julio de 2022, también disponible a través de signalplus[.]organización
  • FlyGram (org.telegram.FlyGram): más de 5000 descargas desde junio de 2020, también disponible a través de flygram[.]organización

Más allá de estos mecanismos de distribución, se dice que es probable que las víctimas potenciales también hayan sido engañadas para que instalen las aplicaciones de un grupo uigur de Telegram centrado en compartir aplicaciones de Android. El grupo tiene más de 1.300 miembros.

Tanto Signal Plus Messenger como FlyGram están diseñados para recopilar y filtrar datos confidenciales del usuario, y cada aplicación se dedica a acumular también información de las respectivas aplicaciones que imitan: Signal y Telegram.

software espía

Esto incluye la capacidad de acceder al PIN de Signal y a las copias de seguridad del chat de Telegram si la víctima habilita una función de sincronización en la nube desde la aplicación troyanizada.

En lo que es un giro novedoso, Signal Plus Messenger representa el primer caso documentado de vigilancia de las comunicaciones de Signal de una víctima al vincular de forma encubierta el dispositivo comprometido a la cuenta de Signal del atacante sin requerir ninguna interacción del usuario.

“BadBazaar, el malware responsable del espionaje, evita el proceso habitual de escaneo de códigos QR y clic del usuario al recibir el URI necesario de su [command-and-control] servidor, y desencadenar directamente la acción necesaria cuando el Dispositivo de enlace se hace clic en el botón”, explicó Štefanko.

La seguridad cibernética

“Esto permite que el malware vincule secretamente el teléfono inteligente de la víctima con el dispositivo del atacante, permitiéndole espiar las comunicaciones de Signal sin el conocimiento de la víctima”.

FlyGram, por su parte, también implementa una función llamada Fijación SSL para evadir el análisis incrustando el certificado dentro del archivo APK de modo que solo se permita la comunicación cifrada con el certificado predefinido, lo que dificulta la interceptación y el análisis del tráfico de red entre la aplicación y su servidor.

Un examen de la función Cloud Sync de la aplicación ha revelado además que a cada usuario que se registra en el servicio se le asigna una identificación distinta que se incrementa secuencialmente. Se estima que 13.953 usuarios (incluido ESET) instalaron FlyGram y activaron la función Cloud Sync.

ESET dijo que continúa rastreando a GREF como un grupo separado a pesar de informes previos de fuente abierta que conectan al grupo con APT15, citando falta de evidencia definitiva.

“El objetivo principal de BadBazaar es extraer información del dispositivo, la lista de contactos, los registros de llamadas y la lista de aplicaciones instaladas, y realizar espionaje de los mensajes de Signal vinculando en secreto la aplicación Signal Plus Messenger de la víctima al dispositivo del atacante”, dijo Štefanko.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los clientes de Postbank se quejan de grandes problemas con la banca
Next: El estadio Eryaman obtuvo la aprobación por segunda vez para el partido Ankaragücü-Fenerbahçe

Related Stories

Esta ciudad estadounidense detiene los vertidos de agua de centros
  • Tecnología

Esta ciudad estadounidense detiene los vertidos de agua de centros de datos tras una contaminación relacionada con Meta

teknomers 6 de Temmuz de 2026
Hasta un 76% de descuento en NordVPN por las rebajas:
  • Tecnología

Hasta un 76% de descuento en NordVPN por las rebajas: ¿cuánto tiempo queda para aprovecharlo?

teknomers 5 de Temmuz de 2026
La Vía Láctea es más vasta de lo que pensábamos:
  • Tecnología

La Vía Láctea es más vasta de lo que pensábamos: XMM-Newton revisa la distancia de sus brazos espirales externos

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa del Mundo 2026: Carlos Queiroz renuncia como entrenador de Ghana

teknomers 6 de Temmuz de 2026
  • General

¿Problemas con papá? Rutte de la OTAN se mantiene encantador para mantener a Trump de su lado.

teknomers 6 de Temmuz de 2026
«Es un gran error de la FIFA»: el seleccionador de
  • Deporte

«Es un gran error de la FIFA»: el seleccionador de Noruega en desacuerdo con la anulación de la tarjeta roja a Balogun

teknomers 6 de Temmuz de 2026
Reglas, fugas urinarias, vestuarios inadecuados: una matrona de Toulouse rompe
  • salud

Reglas, fugas urinarias, vestuarios inadecuados: una matrona de Toulouse rompe el tabú de la menstruación y la ginecología en el deporte, “Mi presencia ha permitido liberar la palabra”

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.