I ricercatori di ESET hanno scoperto due campagne di cyberspionaggio effettuare dal gruppo cinese GREF contro gli utenti Android. I cybercriminali hanno usato versioni modificate delle app Telegram e Signal per distribuire lo spyware BadBazaar tramite Play Store e Galaxy Store. Le app sono state rimosse da Google e Samsung.
BadBazaar in FlyGram e Signal Plus Messenger
I cybercriminali hanno utilizzato il codice open source di Telegram e Signal per creare le app infette FlyGram e Signal Plus Messenger che potevano essere scaricate dagli store di Google e Samsung, oltre che dai rispettivi siti ufficiali. Le “funzionalità” principali sono furto di dati e spionaggio. Le vittime si trovano in Ucraina, Polonia, Paesi Bassi, Spagna, Portogallo, Germania, Hong Kong e Stati Uniti.
Quando l’utente effettua l’accesso a FlyGram, BadBazaar invia al server remoto alcune informazioni sul dispositivo, tra cui numero IMEI e indirizzo MAC. In base ai comandi ricevuti dal server, il malware esfiltra diversi dati: contatti, log delle chiamate, elenco delle applicazioni installate, account Google, posizione geografica e informazioni sul WiFi (indirizzo MAC, Indirizzo IP, SSID, BSSID, gateway e DNS).
Anche Signal Plus Messenger permette di esfiltrare informazioni sul dispositivo, ma anche il PIN che protegge l’account. Una funzionalità esclusiva, offerta dall’app Signal legittima, consente di collegare più dispositivi allo stesso account, aggirando la procedura di collegamento tramite scansione del codice QR. I cybercriminali possono così leggere i messaggi inviati e ricevuti dalla vittima. Fortunatamente, BadBazaar non nasconde il dispositivo collegato, quindi l’utente può rimuoverlo nelle opzioni dell’app legittima.
Come detto, le due app sono state rimosse dagli store di Google e Samsung. Gli utenti devono installare solo le app originali, anche se quelle basate sullo stesso codice promettono funzionalità esclusive.