{"id":5340,"date":"2023-09-05T00:38:37","date_gmt":"2023-09-04T22:38:37","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5340"},"modified":"2023-09-16T19:43:34","modified_gmt":"2023-09-16T17:43:34","slug":"trojanizovane-signal-i-telegram-aplikacije-u-google-play-prodavnici","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/05\/trojanizovane-signal-i-telegram-aplikacije-u-google-play-prodavnici\/","title":{"rendered":"Trojanizovane Signal i Telegram aplikacije u Google Play prodavnici"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije ESET<\/em> identifikovali dvije aktivne kampanje usmjerene na korisnike Android<\/em> operativnog sistema, gdje su zlonamjerni akteri<\/a> koji stoje iza alata za Telegram<\/em> i Signal<\/em> identifikovani kao kineska APT<\/em><\/a> grupa GREF<\/em>.<\/span><\/p>\n

\"Trojanizovane

Image by <\/em>Freepik<\/em><\/a><\/p><\/div>\n

Kampanje koje su najvjerovatnije aktivne od jula 2020. godine, odnosno jula 2022. godine su kori\u0161tene za distribuciju Android<\/em> \u0161pijunskog k\u00f4da BadBazaar<\/em> preko Google<\/em> Play<\/em> prodavnice, Samsung<\/em> Galaxy<\/em> prodavnice i namjenskih Internet lokacija koje predstavljaju zlonamjerne aplikacije Signal Plus Messenger<\/em> i FlyGram<\/em>, koje su zakrpljene verzije popularnih aplikacija otvorenog k\u00f4da Signal<\/em> i Telegram<\/em>. Namjena navedenih trojanizovanih<\/a> aplikacija je kra\u0111a korisni\u010dkih podataka.<\/span><\/p>\n

 <\/p>\n

La\u017ene Signal<\/em> i Telegram<\/em> aplikacije<\/strong><\/span><\/h2>\n

Aplikacija FlyGram<\/em> mo\u017ee da izdvoji osnovne informacije o ure\u0111aju, ali i osvetljive podatke<\/a>, kao \u0161to su liste kontakata, evidencije poziva i lista Google<\/em> naloga. Pored toga, ova aplikacija mo\u017ee da preuzme jo\u0161 neke informacije vezane za pode\u0161avanje aplikacije Telegram<\/em>, ali ne Telegram<\/em> listu kontakata, poruke ili bilo koje druge osjetljive informacije. Ako korisnici omogu\u0107e odre\u0111enu funkciju u okviru zlonamjerne aplikacije FlyGram<\/em> koja im omogu\u0107ava da se prave rezervne kopije<\/a> i vra\u0107aju podatke aplikacije Telegram<\/em> na udaljeni server koji kontroli\u0161u napada\u010di, zlonamjerni akteri dobijaju potpun pristup tim rezervnim kopijama aplikacije Telegram<\/em>, a ne samo prikupljenim metapodacima.<\/span><\/p>\n

\"BadBazaar

Signal Plus Messenger i FlyGram u Google Play prodavnici, Samsung Galaxy prodavnici i namjenskim Internet lokacijama Izvor: ESET<\/em><\/p><\/div>\n

Zlonamjerna aplikacija Signal Plus Messenger<\/em> prikuplja sli\u010dne podatke o ure\u0111aju i osjetljive informacije, ali njen glavni cilj je da \u0161pijunira komunikaciju \u017ertve. Ova zlonamjerna aplikacija mo\u017ee da izdvoji PIN<\/em> broj aplikacije Signal<\/em> koji \u0161titi Signal<\/em> nalog, kao i da zloupotrebljava funkciju ure\u0111aja za povezivanje koja omogu\u0107ava korisnicima da pove\u017eu Signal<\/em> Desktop<\/em> i Signal<\/em> iPad<\/em> sa svojim telefonima. Ovaj pristup \u0161pijuniranju isti\u010de se zbog svoje jedinstvenosti, jer se razlikuje od funkcionalnosti bilo kog drugog poznatog zlonamjernog softvera.<\/span><\/p>\n

 <\/p>\n

\u201cZlonamjerni k\u00f4d iz porodice BadBazaar bio je sakriven u trojanizovanim aplikacijama Signal i Telegram, koje \u017ertvama pru\u017eaju radno iskustvo u aplikaciji, ali sa \u0161pijuna\u017eom koja se de\u0161ava u pozadini. Osnovna svrha BadBazaar je da eksfiltrira informacije o ure\u0111aju, listu kontakata, evidenciju poziva i listu instaliranih aplikacija i da vr\u0161i \u0161pijuniranje Signal poruka tako \u0161to tajno povezuje \u017ertvinu aplikaciju Signal Plus Messenger sa ure\u0111ajem napada\u010da.<\/em>\u201d<\/span><\/p>\n

ESET sigurnosni istra\u017eiva\u010d Luk\u00e1\u0161 \u0160tefanko<\/em><\/a> –<\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

 <\/p>\n

Funkcionisanje la\u017enih aplikacija<\/strong><\/span><\/h3>\n

Nakon \u0161to se aplikacija pokrene, korisnik mora da se prijavi na Signal Plus Messenger<\/em> preko legitimne Signal<\/em> funkcionalnosti za prijavu, isto onako kako bi uradio koriste\u0107i legitimnu Signal<\/em> aplikaciju za Android<\/em>. Kada se korisnik prijavi, Signal Plus Messenger<\/em> po\u010dinje komunikaciju sa svojim serverom za komandu i kontrolu (C&C<\/em>).<\/span><\/p>\n

\"badbazaar

Mehanizam povezivanja Signal komunikacije \u017ertve sa napada\u010dem Izvor: ESET<\/em><\/p><\/div>\n

Signal Plus Messenger<\/em> mo\u017ee \u0161pijunirati poruke aplikacije Signal<\/em> zloupotrebom funkcije \u201cpovezivanje ure\u0111aja\u201d<\/em>, a to radi tako \u0161to automatski povezuje kompromitovani ure\u0111aj sa ure\u0111ajem zlonamjernog napada\u010da zloupotrebom ove funkcionalnosti. Ovaj metod \u0161pijuniranja je jedinstven, jer sigurnosni istra\u017eiva\u010di nisu ranije vidjeli da je ova funkcionalnost zloupotrebljena od strane drugih zlonamjernih softvera, a ovo je i jedini metod pomo\u0107u kojeg napada\u010d mo\u017ee da dobije sadr\u017eaj poruka iz aplikacije Signal<\/em>. Kompanija ESET<\/em> je obavijestila programere aplikacije Signala<\/em> o ovom sigurnosnom propustu.<\/span><\/p>\n

Kod la\u017ene aplikacije Telegram<\/em> \u2013 FlyGram<\/em>, korisnik mora da se prijavi preko svoje legitimne Telegram<\/em> funkcionalnosti, kako to zahteva zvani\u010dna aplikacija Telegram<\/em>. Pre nego \u0161to se prijavljivanje zavr\u0161i, FlyGram<\/em> po\u010dinje komunikaciju sa C&C<\/em> serverom i BadBazaar<\/em> dobija mogu\u0107nost da preuzme osjetljive informacije sa ure\u0111aja, kao i da pristupi rezervnim kopijama aplikacije Telegram<\/em> ako korisnik aktivira odre\u0111enu funkcionalnost. Proxy<\/em> server napada\u010da mo\u017ee da evidentira neke metapodatke, ali ne mo\u017ee da de\u0161ifruje stvarne podatke i poruke koje se razmjenjuju u samoj aplikaciji Telegram<\/em>. Za razliku od Signal Plus Messenger<\/em> aplikacije, FlyGram <\/em>aplikaciji nedostaje mogu\u0107nost da pove\u017ee Telegram<\/em> nalog sa napada\u010dem ili presretne \u0161ifrovanu komunikaciju svojih \u017ertava.<\/span><\/p>\n

Napada\u010di u ovim kampanjama koriste SSL pinning<\/em> tehniku koja koja poma\u017ee u spre\u010davanju napada putem posredovanja (eng. Man-In-The-Middle Attack – MITM<\/em>) \u010dvrstim k\u00f4diranjem javnog klju\u010da SSL\/TLS<\/em> certifikata u aplikaciju. To zna\u010di da kada aplikacija komunicira sa serverom, ona upore\u0111uje javni klju\u010d serverskog SSL\/TLS<\/em> certifikata sa onim koji je \u010dvrsto k\u00f4diran u aplikaciji, kako bi za\u0161titili komunikaciju izme\u0111u zlonamjernih aplikacija i svojih servera za komandu i kontrolu, \u010dine\u0107i presretanje i analizu izazovnim za istra\u017eiva\u010de.<\/span><\/p>\n

Infekcija korisnika je primije\u0107ena u Australiji, Brazilu, Danskoj, Demokratskoj Republici Kongo, Njema\u010dkoj, Hong Kongu, Ma\u0111arskoj, Litvaniji, Holandiji, Poljskoj, Portugalu, Singapuru, \u0160paniji, Ukrajini, SAD i Jemenu. <\/span>Aplikacije su uklonjene iz Google Play<\/em> prodavnice i Samsung Galaxy<\/em> prodavnice.<\/span><\/p>\n

\"Lokacije\"

Geografke lokacije inficiranih korisnika; Izvor: ESET<\/em><\/p><\/div>\n

 <\/p>\n

APT GREF<\/em><\/strong><\/span><\/h4>\n

APT<\/em> grupa GREF<\/em> (poznata jo\u0161 kao i APT15<\/a>, Ke3chang, Vixen Panda, Bronze Palace, Nylon Typhoon<\/em>) cilja organizacije a sjedi\u0161tem na vi\u0161e lokacija, uklju\u010duju\u0107i brojne evropske zemlje, SAD i Ju\u017enu Afriku. Operatori ove grupe, koja se pripisuje akterima koji djeluju iz Kine, dijele resurse uklju\u010duju\u0107i backdoor<\/em> <\/a>kao i infrastrukturu sa drugim kineskim APT<\/em> grupama. Grupa napada nekoliko industrija, u trgovinskom, ekonomskom i finansijskom, energetskom i vojnom sektoru kao podr\u0161ka interesima kineske vlade.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Sve ovo samo pokazuj da, u dana\u0161njem sajber prostoru koji je dinami\u010dan i u stalnom razvoju, pojava BadBazaar<\/em> prijetnje pove\u0107ava potrebu za ja\u010dom sajber bezbedno\u0161c\u0301u. Pored standardnih praksi kao \u0161to je a\u017euriranje ure\u0111aja i kori\u0161tenje pouzdanih bezbjednosnih rje\u0161enja, korisnici bi trebalo da budu oprezni kada preuzimaju aplikacije.<\/span><\/p>\n

Odnosno, korisnici Android<\/em> ure\u0111aja bi trebalo da koriste originalne verzije aplikacija Signala<\/em> i Telegrama<\/em> i izbjegavaju preuzimanje aplikacija koje\u00a0 koje obe\u0107avaju pobolj\u0161anu privatnost ili dodatne funkcije, \u010dak i ako su one dostupne u zvani\u010dnim prodavnicama aplikacija.<\/span><\/p>\n

Provjera programera aplikacija, praktikovanje preporu\u010denih sajber bezbjednosnih praksi i odr\u017eavanje opreza i budnosti prema potencijalnim prijetnjama doprinose sna\u017enijoj odbrani od novih sajber rizika.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije ESET identifikovali dvije aktivne kampanje usmjerene na korisnike Android operativnog sistema, gdje su zlonamjerni akteri koji stoje iza alata za Telegram i Signal identifikovani kao kineska APT grupa GREF. Kampanje koje...<\/p>","protected":false},"author":1,"featured_media":5343,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,516,452,517,515,320],"class_list":["post-5340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-apt-gref","tag-apt15","tag-badbazaar","tag-signal","tag-telegram"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5340"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5340\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5343"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}