حذر من برنامج تجسس صيني يستهدف مستخدمي Signal و Telegram على Android. اكتشف باحثو الأمن السيبراني تطبيقات Android خبيثة لـ Signal و Telegram يتم توزيعها عبر متجر Google Play ومتجر Samsung Galaxy Store وهي مصممة لتوصيل برنامج التجسس BadBazaar على الأجهزة المصابة.
أرجعت شركة ESET السلوفاكية الحملة إلى فاعل من الصين يُدعى GREF.
“من المرجح أن تكون الحملات نشطة منذ يوليو 2020 ومنذ يوليو 2022 ، على التوالي ، وقد وزعت رمز التجسس Android BadBazaar من خلال متجر Google Play ، ومتجر Samsung Galaxy Store ، والمواقع الإلكترونية المخصصة للتطبيقات الخبيثة Signal Plus Messenger و FlyGram” ، قال الباحث الأمني Lukács Štefanko في تقرير جديد تم مشاركته مع The Hacker News.
تم الكشف عن الضحايا في المقام الأول في ألمانيا وبولندا والولايات المتحدة ، تليها أوكرانيا وأستراليا والبرازيل والدنمارك وجمهورية الكونغو الديمقراطية وهونج كونج والمجر وليتوانيا وهولندا والبرتغال وسنغافورة وإسبانيا واليمن.
تم توثيق BadBazaar لأول مرة بواسطة Lookout في نوفمبر 2022 على أنه يستهدف مجتمع الأويغور في الصين بتطبيقات Android و iOS تبدو غير ضارة والتي ، بمجرد تثبيتها ، تحصد مجموعة واسعة من البيانات ، بما في ذلك سجلات المكالمات ورسائل SMS والمواقع و غيرها.
الحملة السابقة. النشطة منذ عام 2018 على الأقل. تُذكر أيضًا بحقيقة أن تطبيقات Android المارقة لم يتم نشرها على Play Store. تم حذف أحدث مجموعة من التطبيقات منذ ذلك الحين من متجر تطبيقات Google. لكنها لا تزال متاحة على متجر Samsung Galaxy Store.
تفاصيل التطبيقات هي كما يلي:
- Signal Plus Messenger (org.thoughtcrime.securesmsplus) – 100+ تنزيلات منذ يوليو 2022. متاح أيضًا عبر signalplus[.]org
- FlyGram (org.telegram.FlyGram) – 5000+ تنزيلات منذ يونيو 2020. متاح أيضًا عبر flygram[.]org
بالإضافة إلى هذه الآليات للتوزيع. يُقال أن الضحايا المحتملين قد تم خداعهم أيضًا لتثبيت التطبيقات من مجموعة Telegram الأويغورية التي تركز على مشاركة تطبيقات Android. المجموعة لديها أكثر من 1300 عضو.
تم تصميم كل من Signal Plus Messenger و FlyGram لجمع ونقل البيانات الحساسة للمستخدم. مع تخصيص كل تطبيق أيضًا لجمع المعلومات من التطبيقات المقلدة التي يحاكيها: Signal و Telegram.
وهذا يشمل القدرة على الوصول إلى PIN الخاص بـ Signal ونسخ احتياطية من محادثات Telegram في حالة تمكين ميزة Cloud Sync من التطبيق المشبوه.
في ما يمثل تطورًا جديدًا. يمثل Signal Plus Messenger أول حالة موثقة لمراقبة اتصالات الضحية في Signal من خلال ربط الجهاز المخترق بهوية الجاني في Signal دون أي تفاعل من المستخدم.
“يتجاوز برنامج BadBazaar ، وهو برنامج التجسس المسؤول عن التجسس. عملية مسح رمز QR المعتاد وعمل النقر على المستخدم من خلال تلقي URI الضروري من خادمه [التحكم والسيطرة]. ومباشرة تحفيز الإجراء الضروري عند النقر فوق زر ربط الجهاز”. أوضح Štefanko.
“يمكن لهذا أن يمكّن برنامج التجسس من ربط هاتف الذكي للضحية سراً بجهاز المهاجم. مما يسمح لهم بالتجسس على اتصالات Signal دون علم الضحية.”
من جانبها. تطبق FlyGram أيضًا ميزة تسمى SSL pinning لتجنب التحليل عن طريق تضمين الشهادة داخل ملف APK بحيث يُسمح فقط بالتواصل المشفر مع الشهادة المحددة مسبقًا. مما يجعل من الصعب اعتراض وتحليل حركة المرور بين التطبيق والخادم.
كشف فحص ميزة Cloud Sync الخاصة بالتطبيق أنه يتم تعيين معرف فريد لكل مستخدم يسجل للخدمة ويتم ترقيمه بشكل متسلسل. يقدر أن 13953 مستخدمًا (بما في ذلك ESET) قاموا بتثبيت FlyGram ونشطوا ميزة Cloud Sync.
قال ESET إنه يواصل تتبع GREF كمجموعة منفصلة على الرغم من التقارير السابقة مفتوحة المصدر التي تربط المجموعة بـ APT15. مشيرًا إلى عدم وجود دليل قاطع. “تتمثل المهمة الرئيسية لـ Bad
حذر من برنامج تجسس صيني يستهدف مستخدمي Signal و Telegram على Android. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.