Trojanizovane Signal i Telegram aplikacije u Google Play prodavnici
Sigurnosni istraživači kompanije ESET identifikovali dvije aktivne kampanje usmjerene na korisnike Android operativnog sistema, gdje su zlonamjerni akteri koji stoje iza alata za Telegram i Signal identifikovani kao kineska APT grupa GREF.
Image by Freepik
Kampanje koje su najvjerovatnije aktivne od jula 2020. godine, odnosno jula 2022. godine su korištene za distribuciju Android špijunskog kôda BadBazaar preko Google Play prodavnice, Samsung Galaxy prodavnice i namjenskih Internet lokacija koje predstavljaju zlonamjerne aplikacije Signal Plus Messenger i FlyGram, koje su zakrpljene verzije popularnih aplikacija otvorenog kôda Signal i Telegram. Namjena navedenih trojanizovanih aplikacija je krađa korisničkih podataka.
Lažne Signal i Telegram aplikacije
Aplikacija FlyGram može da izdvoji osnovne informacije o uređaju, ali i osvetljive podatke, kao što su liste kontakata, evidencije poziva i lista Google naloga. Pored toga, ova aplikacija može da preuzme još neke informacije vezane za podešavanje aplikacije Telegram, ali ne Telegram listu kontakata, poruke ili bilo koje druge osjetljive informacije. Ako korisnici omoguće određenu funkciju u okviru zlonamjerne aplikacije FlyGram koja im omogućava da se prave rezervne kopije i vraćaju podatke aplikacije Telegram na udaljeni server koji kontrolišu napadači, zlonamjerni akteri dobijaju potpun pristup tim rezervnim kopijama aplikacije Telegram, a ne samo prikupljenim metapodacima.
Signal Plus Messenger i FlyGram u Google Play prodavnici, Samsung Galaxy prodavnici i namjenskim Internet lokacijama Izvor: ESET
Zlonamjerna aplikacija Signal Plus Messenger prikuplja slične podatke o uređaju i osjetljive informacije, ali njen glavni cilj je da špijunira komunikaciju žrtve. Ova zlonamjerna aplikacija može da izdvoji PIN broj aplikacije Signal koji štiti Signal nalog, kao i da zloupotrebljava funkciju uređaja za povezivanje koja omogućava korisnicima da povežu Signal Desktop i Signal iPad sa svojim telefonima. Ovaj pristup špijuniranju ističe se zbog svoje jedinstvenosti, jer se razlikuje od funkcionalnosti bilo kog drugog poznatog zlonamjernog softvera.
“Zlonamjerni kôd iz porodice BadBazaar bio je sakriven u trojanizovanim aplikacijama Signal i Telegram, koje žrtvama pružaju radno iskustvo u aplikaciji, ali sa špijunažom koja se dešava u pozadini. Osnovna svrha BadBazaar je da eksfiltrira informacije o uređaju, listu kontakata, evidenciju poziva i listu instaliranih aplikacija i da vrši špijuniranje Signal poruka tako što tajno povezuje žrtvinu aplikaciju Signal Plus Messenger sa uređajem napadača.”
Funkcionisanje lažnih aplikacija
Nakon što se aplikacija pokrene, korisnik mora da se prijavi na Signal Plus Messenger preko legitimne Signal funkcionalnosti za prijavu, isto onako kako bi uradio koristeći legitimnu Signal aplikaciju za Android. Kada se korisnik prijavi, Signal Plus Messenger počinje komunikaciju sa svojim serverom za komandu i kontrolu (C&C).
Mehanizam povezivanja Signal komunikacije žrtve sa napadačem Izvor: ESET
Signal Plus Messenger može špijunirati poruke aplikacije Signal zloupotrebom funkcije “povezivanje uređaja”, a to radi tako što automatski povezuje kompromitovani uređaj sa uređajem zlonamjernog napadača zloupotrebom ove funkcionalnosti. Ovaj metod špijuniranja je jedinstven, jer sigurnosni istraživači nisu ranije vidjeli da je ova funkcionalnost zloupotrebljena od strane drugih zlonamjernih softvera, a ovo je i jedini metod pomoću kojeg napadač može da dobije sadržaj poruka iz aplikacije Signal. Kompanija ESET je obavijestila programere aplikacije Signala o ovom sigurnosnom propustu.
Kod lažne aplikacije Telegram – FlyGram, korisnik mora da se prijavi preko svoje legitimne Telegram funkcionalnosti, kako to zahteva zvanična aplikacija Telegram. Pre nego što se prijavljivanje završi, FlyGram počinje komunikaciju sa C&C serverom i BadBazaar dobija mogućnost da preuzme osjetljive informacije sa uređaja, kao i da pristupi rezervnim kopijama aplikacije Telegram ako korisnik aktivira određenu funkcionalnost. Proxy server napadača može da evidentira neke metapodatke, ali ne može da dešifruje stvarne podatke i poruke koje se razmjenjuju u samoj aplikaciji Telegram. Za razliku od Signal Plus Messenger aplikacije, FlyGram aplikaciji nedostaje mogućnost da poveže Telegram nalog sa napadačem ili presretne šifrovanu komunikaciju svojih žrtava.
Napadači u ovim kampanjama koriste SSL pinning tehniku koja koja pomaže u sprečavanju napada putem posredovanja (eng. Man-In-The-Middle Attack – MITM) čvrstim kôdiranjem javnog ključa SSL/TLS certifikata u aplikaciju. To znači da kada aplikacija komunicira sa serverom, ona upoređuje javni ključ serverskog SSL/TLS certifikata sa onim koji je čvrsto kôdiran u aplikaciji, kako bi zaštitili komunikaciju između zlonamjernih aplikacija i svojih servera za komandu i kontrolu, čineći presretanje i analizu izazovnim za istraživače.
Infekcija korisnika je primijećena u Australiji, Brazilu, Danskoj, Demokratskoj Republici Kongo, Njemačkoj, Hong Kongu, Mađarskoj, Litvaniji, Holandiji, Poljskoj, Portugalu, Singapuru, Španiji, Ukrajini, SAD i Jemenu. Aplikacije su uklonjene iz Google Play prodavnice i Samsung Galaxy prodavnice.
Geografke lokacije inficiranih korisnika; Izvor: ESET
APT GREF
APT grupa GREF (poznata još kao i APT15, Ke3chang, Vixen Panda, Bronze Palace, Nylon Typhoon) cilja organizacije a sjedištem na više lokacija, uključujući brojne evropske zemlje, SAD i Južnu Afriku. Operatori ove grupe, koja se pripisuje akterima koji djeluju iz Kine, dijele resurse uključujući backdoor kao i infrastrukturu sa drugim kineskim APT grupama. Grupa napada nekoliko industrija, u trgovinskom, ekonomskom i finansijskom, energetskom i vojnom sektoru kao podrška interesima kineske vlade.
Zaključak
Sve ovo samo pokazuj da, u današnjem sajber prostoru koji je dinamičan i u stalnom razvoju, pojava BadBazaar prijetnje povećava potrebu za jačom sajber bezbednošću. Pored standardnih praksi kao što je ažuriranje uređaja i korištenje pouzdanih bezbjednosnih rješenja, korisnici bi trebalo da budu oprezni kada preuzimaju aplikacije.
Odnosno, korisnici Android uređaja bi trebalo da koriste originalne verzije aplikacija Signala i Telegrama i izbjegavaju preuzimanje aplikacija koje koje obećavaju poboljšanu privatnost ili dodatne funkcije, čak i ako su one dostupne u zvaničnim prodavnicama aplikacija.
Provjera programera aplikacija, praktikovanje preporučenih sajber bezbjednosnih praksi i održavanje opreza i budnosti prema potencijalnim prijetnjama doprinose snažnijoj odbrani od novih sajber rizika.
