{"id":928029,"date":"2023-08-30T14:17:09","date_gmt":"2023-08-30T14:17:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/badbazaar-software-espia-para-android-vinculado-a-china-dirigido-a-usuarios-de-signal-y-telegram\/"},"modified":"2023-08-30T14:17:12","modified_gmt":"2023-08-30T14:17:12","slug":"badbazaar-software-espia-para-android-vinculado-a-china-dirigido-a-usuarios-de-signal-y-telegram","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/badbazaar-software-espia-para-android-vinculado-a-china-dirigido-a-usuarios-de-signal-y-telegram\/","title":{"rendered":"BadBazaar, software esp\u00eda para Android vinculado a China dirigido a usuarios de Signal y Telegram"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 de agosto de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad M\u00f3vil\/Privacidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Investigadores de ciberseguridad han descubierto aplicaciones maliciosas de Android para Signal y Telegram distribuidas a trav\u00e9s de Google Play Store y Samsung Galaxy Store que est\u00e1n dise\u00f1adas para entregar el software esp\u00eda BadBazaar en dispositivos infectados.<\/p>\n<p>La empresa eslovaca ESET atribuy\u00f3 la campa\u00f1a a un actor vinculado a China llamado <strong>GREF<\/strong>.<\/p>\n<p>&#8220;Las campa\u00f1as, probablemente activas desde julio de 2020 y desde julio de 2022, respectivamente, han distribuido el c\u00f3digo de espionaje de Android BadBazaar a trav\u00e9s de la tienda Google Play, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram&#8221;, afirma el investigador de seguridad Luk\u00e1\u0161 Stefanko <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps\/\" target=\"_blank\">dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n<p>Las v\u00edctimas se han detectado principalmente en Alemania, Polonia y Estados Unidos, seguidos de Ucrania, Australia, Brasil, Dinamarca, Congo-Kinshasa, Hong Kong, Hungr\u00eda, Lituania, Pa\u00edses Bajos, Portugal, Singapur, Espa\u00f1a y Yemen.<\/p>\n<p>Lookout document\u00f3 por primera vez que BadBazaar se dirig\u00eda a la comunidad uigur en China en noviembre de 2022 con aplicaciones aparentemente benignas para Android e iOS que, una vez instaladas, recopilan una amplia gama de datos, incluidos registros de llamadas, mensajes SMS, ubicaciones y otros.<\/p>\n<p>La campa\u00f1a anterior, activa desde al menos 2018, tambi\u00e9n se destaca por el hecho de que las aplicaciones maliciosas de Android nunca se publicaron en Play Store.  Desde entonces, ambas aplicaciones han sido eliminadas de la tienda de aplicaciones de Google, pero siguen estando disponibles en Samsung Galaxy Store.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Zoom-ZTP-amp-AudioCodes-Phones-Flaws-Uncovered-Exposing-Users-to.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Los detalles de las aplicaciones son los siguientes:<\/p>\n<ul>\n<li>Signal Plus Messenger (org.thinktcrime.securesmsplus): m\u00e1s de 100 descargas desde julio de 2022, tambi\u00e9n disponible a trav\u00e9s de signalplus[.]organizaci\u00f3n<\/li>\n<li>FlyGram (org.telegram.FlyGram): m\u00e1s de 5000 descargas desde junio de 2020, tambi\u00e9n disponible a trav\u00e9s de flygram[.]organizaci\u00f3n<\/li>\n<\/ul>\n<p>M\u00e1s all\u00e1 de estos mecanismos de distribuci\u00f3n, se dice que es probable que las v\u00edctimas potenciales tambi\u00e9n hayan sido enga\u00f1adas para que instalen las aplicaciones de un grupo uigur de Telegram centrado en compartir aplicaciones de Android.  El grupo tiene m\u00e1s de 1.300 miembros.<\/p>\n<p>Tanto Signal Plus Messenger como FlyGram est\u00e1n dise\u00f1ados para recopilar y filtrar datos confidenciales del usuario, y cada aplicaci\u00f3n se dedica a acumular tambi\u00e9n informaci\u00f3n de las respectivas aplicaciones que imitan: Signal y Telegram.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693405029_133_BadBazaar-software-espia-para-Android-vinculado-a-China-dirigido-a.jpg\" alt=\"software esp\u00eda\" border=\"0\" data-original-height=\"285\" data-original-width=\"728\" title=\"software esp\u00eda\"\/><\/div>\n<p>Esto incluye la capacidad de acceder al PIN de Signal y a las copias de seguridad del chat de Telegram si la v\u00edctima habilita una funci\u00f3n de sincronizaci\u00f3n en la nube desde la aplicaci\u00f3n troyanizada.<\/p>\n<p>En lo que es un giro novedoso, Signal Plus Messenger representa el primer caso documentado de vigilancia de las comunicaciones de Signal de una v\u00edctima al vincular de forma encubierta el dispositivo comprometido a la cuenta de Signal del atacante sin requerir ninguna interacci\u00f3n del usuario.<\/p>\n<p>&#8220;BadBazaar, el malware responsable del espionaje, evita el proceso habitual de escaneo de c\u00f3digos QR y clic del usuario al recibir el URI necesario de su [command-and-control] servidor, y desencadenar directamente la acci\u00f3n necesaria cuando el <a rel=\"nofollow noopener\" href=\"https:\/\/support.signal.org\/hc\/en-us\/articles\/360007320551-Linked-Devices\" target=\"_blank\">Dispositivo de enlace<\/a> se hace clic en el bot\u00f3n&#8221;, explic\u00f3 \u0160tefanko.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-Version-of-Rilide-Data-Theft-Malware-Adapts-to-Chrome.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Esto permite que el malware vincule secretamente el tel\u00e9fono inteligente de la v\u00edctima con el dispositivo del atacante, permiti\u00e9ndole espiar las comunicaciones de Signal sin el conocimiento de la v\u00edctima&#8221;.<\/p>\n<p>FlyGram, por su parte, tambi\u00e9n implementa una funci\u00f3n llamada <a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/controls\/Certificate_and_Public_Key_Pinning\" target=\"_blank\">Fijaci\u00f3n SSL<\/a> para evadir el an\u00e1lisis incrustando el certificado dentro del archivo APK de modo que solo se permita la comunicaci\u00f3n cifrada con el certificado predefinido, lo que dificulta la interceptaci\u00f3n y el an\u00e1lisis del tr\u00e1fico de red entre la aplicaci\u00f3n y su servidor.<\/p>\n<p>Un examen de la funci\u00f3n Cloud Sync de la aplicaci\u00f3n ha revelado adem\u00e1s que a cada usuario que se registra en el servicio se le asigna una identificaci\u00f3n distinta que se incrementa secuencialmente.  Se estima que 13.953 usuarios (incluido ESET) instalaron FlyGram y activaron la funci\u00f3n Cloud Sync.<\/p>\n<p>ESET dijo que contin\u00faa rastreando a GREF como un grupo separado a pesar de informes previos de fuente abierta que conectan al grupo con APT15, citando falta de evidencia definitiva.<\/p>\n<p>&#8220;El objetivo principal de BadBazaar es extraer informaci\u00f3n del dispositivo, la lista de contactos, los registros de llamadas y la lista de aplicaciones instaladas, y realizar espionaje de los mensajes de Signal vinculando en secreto la aplicaci\u00f3n Signal Plus Messenger de la v\u00edctima al dispositivo del atacante&#8221;, dijo \u0160tefanko.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/china-linked-badbazaar-android-spyware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 de agosto de 2023\ue804THNSeguridad M\u00f3vil\/Privacidad Investigadores de ciberseguridad han descubierto aplicaciones maliciosas de Android para Signal y<\/p>\n","protected":false},"author":1,"featured_media":928030,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,4661,202313,73,4664,4671,10040,4662,4668,201033,4654,201031,4659,4653,4655,18,4666,4665,11178,6246,201032,10368,7528,12460,4660],"class_list":["post-928029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-ataques-ciberneticos","tag-badbazaar","tag-china","tag-como-hackear","tag-dirigido","tag-espia","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-signal","tag-software","tag-software-malicioso-ransomware","tag-telegram","tag-usuarios","tag-vinculado","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/928029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=928029"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/928029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/928030"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=928029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=928029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=928029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}