Des chercheurs en cybersécurité ont découvert des applications Android malveillantes pour Signal et Telegram distribuées via le Google Play Store et le Samsung Galaxy Store, conçues pour diffuser le logiciel espion BadBazaar sur les appareils infectés.
La société slovaque ESET a attribué la campagne à un acteur lié à la Chine appelé GREF.
« Très probablement actives respectivement depuis juillet 2020 et depuis juillet 2022, les campagnes ont distribué le code d’espionnage Android BadBazaar via le Google Play Store, le Samsung Galaxy Store et des sites Web dédiés représentant les applications malveillantes Signal Plus Messenger et FlyGram », a déclaré le chercheur en sécurité Lukáš. Stefanko dit dans un nouveau rapport partagé avec The Hacker News.
Les victimes ont été principalement détectées en Allemagne, en Pologne et aux États-Unis, suivis par l’Ukraine, l’Australie, le Brésil, le Danemark, le Congo-Kinshasa, Hong Kong, la Hongrie, la Lituanie, les Pays-Bas, le Portugal, Singapour, l’Espagne et le Yémen.
BadBazaar a été documenté pour la première fois par Lookout en novembre 2022 comme ciblant la communauté ouïghoure en Chine avec des applications Android et iOS apparemment inoffensives qui, une fois installées, collectent un large éventail de données, notamment des journaux d’appels, des messages SMS, des emplacements et autres.
La campagne précédente, active depuis au moins 2018, se distingue également par le fait que les applications Android malveillantes n’ont jamais été publiées sur le Play Store. Les deux applications ont depuis été supprimées de la boutique d’applications de Google, mais elles restent disponibles sur le Samsung Galaxy Store.
Les détails des applications sont les suivants –
- Signal Plus Messenger (org.thoughtcrime.securesmsplus) – Plus de 100 téléchargements depuis juillet 2022, également disponible via signalplus[.]org
- FlyGram (org.telegram.FlyGram) – Plus de 5 000 téléchargements depuis juin 2020, également disponible via flygram[.]org
Au-delà de ces mécanismes de distribution, il semblerait que les victimes potentielles aient également été amenées à installer les applications d’un groupe Uyghur Telegram axé sur le partage d’applications Android. Le groupe compte plus de 1 300 membres.
Signal Plus Messenger et FlyGram sont tous deux conçus pour collecter et exfiltrer les données sensibles des utilisateurs, chaque application étant dédiée à la collecte également d’informations à partir des applications respectives qu’elles imitent : Signal et Telegram.
Cela inclut la possibilité d’accéder aux sauvegardes du signal PIN et du chat Telegram si la victime active une fonctionnalité Cloud Sync à partir de l’application cheval de Troie.
Dans ce qui est une nouveauté, Signal Plus Messenger représente le premier cas documenté de surveillance des communications Signal d’une victime en reliant secrètement l’appareil compromis au compte Signal de l’attaquant sans nécessiter aucune interaction de l’utilisateur.
« BadBazaar, le malware responsable de l’espionnage, contourne le processus habituel d’analyse du code QR et de clic de l’utilisateur en recevant l’URI nécessaire de son [command-and-control] serveur, et déclenchant directement l’action nécessaire lorsque le Lier un appareil le bouton est cliqué », a expliqué Štefanko.
« Cela permet au malware de relier secrètement le smartphone de la victime à l’appareil de l’attaquant, lui permettant ainsi d’espionner les communications Signal à l’insu de la victime. »
FlyGram, de son côté, implémente également une fonctionnalité appelée Épinglage SSL pour échapper à l’analyse en intégrant le certificat dans le fichier APK de telle sorte que seule la communication cryptée avec le certificat prédéfini soit autorisée, ce qui rend difficile l’interception et l’analyse du trafic réseau entre l’application et son serveur.
Un examen de la fonctionnalité de l’application Cloud Sync a en outre révélé que chaque utilisateur qui s’inscrit au service se voit attribuer un identifiant distinct qui est incrémenté séquentiellement. On estime que 13 953 utilisateurs (y compris ESET) ont installé FlyGram et activé la fonctionnalité Cloud Sync.
ESET a déclaré qu’il continue de suivre GREF en tant que cluster distinct malgré des rapports open source antérieurs reliant le groupe à APT15, invoquant le manque de preuves définitives.
« L’objectif principal de BadBazaar est d’exfiltrer les informations sur l’appareil, la liste de contacts, les journaux d’appels et la liste des applications installées, et de procéder à l’espionnage des messages Signal en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant », a déclaré Štefanko.