O malware Android BadBazaar está sendo distribuído pela Google Play Store, Samsung Galaxy Loja e sites dedicados que imitam aplicativos maliciosos Signal Plus Messenger e FlyGram.
Estas campanhas ativas estão ligadas à organização APT alinhada com a China, conhecida como GREF. Os uigures e outras minorias étnicas turcas têm sido historicamente alvo do spyware conhecido como BadBazaar.
A família de malware BadBazaar já foi alvo, e o malware FlyGram também foi observado sendo espalhado em um canal do Telegram Uyghur.
Segundo investigadores da ESET, Alemanha, Polónia, EUA, Ucrânia, Austrália, Brasil, Dinamarca, Congo-Kinshasa, Hong Kong, Hungria, Lituânia, Holanda, Portugal, Singapura, Espanha e Iémen são os países onde foram encontradas vítimas. mais frequente.
Especificações do ataque
Os pesquisadores encontraram campanhas ativas do Android onde aplicativos maliciosos com os nomes Signal Plus Messenger e FlyGram foram carregados e divulgados através da loja Google Play, Samsung Galaxy Loja e sites específicos, imitando o aplicativo Signal (signalplus[.]org) e um aplicativo alternativo do Telegram (flygram[.]organização).
O objetivo principal do BadBazaar é roubar informações do dispositivo, como lista de contatos, registros de chamadas e lista de aplicativos instalados, bem como espionar conversas do Signal, anexando secretamente o aplicativo Signal Plus Messenger da vítima ao dispositivo móvel do invasor.
O FlyGram pode extrair especificamente não apenas dados confidenciais, como listas de contatos, registros telefônicos e uma lista de Contas do Google, mas também informações básicas do dispositivo.
Além disso, o malware pode exfiltrar alguns dados e configurações relacionados ao Telegram; os pesquisadores dizem que esses dados excluem a lista de contatos do Telegram, mensagens e quaisquer outros dados confidenciais.
“Se os usuários ativarem um recurso específico do FlyGram que lhes permite fazer backup e restaurar dados do Telegram em um servidor remoto controlado pelos invasores, o agente da ameaça terá acesso total a esses backups do Telegram, não apenas aos metadados coletados”, de acordo com relatório compartilhado com notícias de segurança cibernética.
Cada conta de usuário recém-criada recebe um ID especial do servidor. Esse ID possui um padrão sequencial, o que mostra que pelo menos 13.953 contas FlyGram estão com esse recurso ativado.
Dados de dispositivos semelhantes e informações privadas são coletados pelo Signal Plus Messenger, mas seu objetivo principal é rastrear as comunicações do Signal da vítima.
Ele pode obter o PIN do Signal que protege a conta do Signal e abusar do recurso de link de dispositivo, que permite aos usuários vincular o Signal Desktop e o Signal iPad aos seus telefones.
“Código malicioso da família BadBazaar foi escondido em aplicativos trojanizados de Signal e Telegram, o que deveria fornecer às vítimas uma experiência de aplicativo funcional (sem motivo para removê-lo), mas com espionagem acontecendo em segundo plano”, disseram os pesquisadores.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.
