Trojanizovane Signal i Telegram aplikacije u Google Play prodavnici

Sigurnosni istraživači kompanije ESET identifikovali dvije aktivne kampanje usmjerene na korisnike Android operativnog sistema, gdje su zlonamjerni akteri koji stoje iza alata za Telegram i Signal identifikovani kao kineska APT grupa GREF.

Trojanizovane Signal i Telegram aplikacije

Image by Freepik

Kampanje koje su najvjerovatnije aktivne od jula 2020. godine, odnosno jula 2022. godine su korištene za distribuciju Android špijunskog kôda BadBazaar preko Google Play prodavnice, Samsung Galaxy prodavnice i namjenskih Internet lokacija koje predstavljaju zlonamjerne aplikacije Signal Plus Messenger i FlyGram, koje su zakrpljene verzije popularnih aplikacija otvorenog kôda Signal i Telegram. Namjena navedenih trojanizovanih aplikacija je krađa korisničkih podataka.

 

Lažne Signal i Telegram aplikacije

Aplikacija FlyGram može da izdvoji osnovne informacije o uređaju, ali i osvetljive podatke, kao što su liste kontakata, evidencije poziva i lista Google naloga. Pored toga, ova aplikacija može da preuzme još neke informacije vezane za podešavanje aplikacije Telegram, ali ne Telegram listu kontakata, poruke ili bilo koje druge osjetljive informacije. Ako korisnici omoguće određenu funkciju u okviru zlonamjerne aplikacije FlyGram koja im omogućava da se prave rezervne kopije i vraćaju podatke aplikacije Telegram na udaljeni server koji kontrolišu napadači, zlonamjerni akteri dobijaju potpun pristup tim rezervnim kopijama aplikacije Telegram, a ne samo prikupljenim metapodacima.

BadBazaar apps

Signal Plus Messenger i FlyGram u Google Play prodavnici, Samsung Galaxy prodavnici i namjenskim Internet lokacijama Izvor: ESET

Zlonamjerna aplikacija Signal Plus Messenger prikuplja slične podatke o uređaju i osjetljive informacije, ali njen glavni cilj je da špijunira komunikaciju žrtve. Ova zlonamjerna aplikacija može da izdvoji PIN broj aplikacije Signal koji štiti Signal nalog, kao i da zloupotrebljava funkciju uređaja za povezivanje koja omogućava korisnicima da povežu Signal Desktop i Signal iPad sa svojim telefonima. Ovaj pristup špijuniranju ističe se zbog svoje jedinstvenosti, jer se razlikuje od funkcionalnosti bilo kog drugog poznatog zlonamjernog softvera.

 

Zlonamjerni kôd iz porodice BadBazaar bio je sakriven u trojanizovanim aplikacijama Signal i Telegram, koje žrtvama pružaju radno iskustvo u aplikaciji, ali sa špijunažom koja se dešava u pozadini. Osnovna svrha BadBazaar je da eksfiltrira informacije o uređaju, listu kontakata, evidenciju poziva i listu instaliranih aplikacija i da vrši špijuniranje Signal poruka tako što tajno povezuje žrtvinu aplikaciju Signal Plus Messenger sa uređajem napadača.

ESET sigurnosni istraživač Lukáš Štefanko

 

 

Funkcionisanje lažnih aplikacija

Nakon što se aplikacija pokrene, korisnik mora da se prijavi na Signal Plus Messenger preko legitimne Signal funkcionalnosti za prijavu, isto onako kako bi uradio koristeći legitimnu Signal aplikaciju za Android. Kada se korisnik prijavi, Signal Plus Messenger počinje komunikaciju sa svojim serverom za komandu i kontrolu (C&C).

badbazaar

Mehanizam povezivanja Signal komunikacije žrtve sa napadačem Izvor: ESET

Signal Plus Messenger može špijunirati poruke aplikacije Signal zloupotrebom funkcije “povezivanje uređaja”, a to radi tako što automatski povezuje kompromitovani uređaj sa uređajem zlonamjernog napadača zloupotrebom ove funkcionalnosti. Ovaj metod špijuniranja je jedinstven, jer sigurnosni istraživači nisu ranije vidjeli da je ova funkcionalnost zloupotrebljena od strane drugih zlonamjernih softvera, a ovo je i jedini metod pomoću kojeg napadač može da dobije sadržaj poruka iz aplikacije Signal. Kompanija ESET je obavijestila programere aplikacije Signala o ovom sigurnosnom propustu.

Kod lažne aplikacije TelegramFlyGram, korisnik mora da se prijavi preko svoje legitimne Telegram funkcionalnosti, kako to zahteva zvanična aplikacija Telegram. Pre nego što se prijavljivanje završi, FlyGram počinje komunikaciju sa C&C serverom i BadBazaar dobija mogućnost da preuzme osjetljive informacije sa uređaja, kao i da pristupi rezervnim kopijama aplikacije Telegram ako korisnik aktivira određenu funkcionalnost. Proxy server napadača može da evidentira neke metapodatke, ali ne može da dešifruje stvarne podatke i poruke koje se razmjenjuju u samoj aplikaciji Telegram. Za razliku od Signal Plus Messenger aplikacije, FlyGram aplikaciji nedostaje mogućnost da poveže Telegram nalog sa napadačem ili presretne šifrovanu komunikaciju svojih žrtava.

Napadači u ovim kampanjama koriste SSL pinning tehniku koja koja pomaže u sprečavanju napada putem posredovanja (eng. Man-In-The-Middle Attack – MITM) čvrstim kôdiranjem javnog ključa SSL/TLS certifikata u aplikaciju. To znači da kada aplikacija komunicira sa serverom, ona upoređuje javni ključ serverskog SSL/TLS certifikata sa onim koji je čvrsto kôdiran u aplikaciji, kako bi zaštitili komunikaciju između zlonamjernih aplikacija i svojih servera za komandu i kontrolu, čineći presretanje i analizu izazovnim za istraživače.

Infekcija korisnika je primijećena u Australiji, Brazilu, Danskoj, Demokratskoj Republici Kongo, Njemačkoj, Hong Kongu, Mađarskoj, Litvaniji, Holandiji, Poljskoj, Portugalu, Singapuru, Španiji, Ukrajini, SAD i Jemenu. Aplikacije su uklonjene iz Google Play prodavnice i Samsung Galaxy prodavnice.

Lokacije

Geografke lokacije inficiranih korisnika; Izvor: ESET

 

APT GREF

APT grupa GREF (poznata još kao i APT15, Ke3chang, Vixen Panda, Bronze Palace, Nylon Typhoon) cilja organizacije a sjedištem na više lokacija, uključujući brojne evropske zemlje, SAD i Južnu Afriku. Operatori ove grupe, koja se pripisuje akterima koji djeluju iz Kine, dijele resurse uključujući backdoor kao i infrastrukturu sa drugim kineskim APT grupama. Grupa napada nekoliko industrija, u trgovinskom, ekonomskom i finansijskom, energetskom i vojnom sektoru kao podrška interesima kineske vlade.

 

Zaključak

Sve ovo samo pokazuj da, u današnjem sajber prostoru koji je dinamičan i u stalnom razvoju, pojava BadBazaar prijetnje povećava potrebu za jačom sajber bezbednošću. Pored standardnih praksi kao što je ažuriranje uređaja i korištenje pouzdanih bezbjednosnih rješenja, korisnici bi trebalo da budu oprezni kada preuzimaju aplikacije.

Odnosno, korisnici Android uređaja bi trebalo da koriste originalne verzije aplikacija Signala i Telegrama i izbjegavaju preuzimanje aplikacija koje  koje obećavaju poboljšanu privatnost ili dodatne funkcije, čak i ako su one dostupne u zvaničnim prodavnicama aplikacija.

Provjera programera aplikacija, praktikovanje preporučenih sajber bezbjednosnih praksi i održavanje opreza i budnosti prema potencijalnim prijetnjama doprinose snažnijoj odbrani od novih sajber rizika.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.