Tausende Benutzer haben das heruntergeladen App-Spion FlyGram und Signal Plus Messenger im Google Play Store und Samsung Galaxy Store. Dies sind zwei aktive Kampagnen, auf die es abzielt Android-Nutzer von Telegram und Signalder es verbreitet hat Spyware BadBazaar auf die mit China ausgerichtete APT GREF-Gruppe zurückzuführen.
Spyware BadBazaar in der Telegram- und Signal-App
Die führende Gruppe im Bereich Cybersicherheit ESET identifizierte zwei Bedrohungen aus der Chinesische Gruppe GREF richtet sich an Android-Nutzer. Die beiden Kampagnen, die vermutlich seit Juli 2020 für Signal und Juli 2022 für Telegram aktiv sind, verbreiteten den Spionagecode BadBazaar. Diffusion findet statt über Google Play Store, Samsung Galaxy Store und spezielle Websitesdie sich als legitime verschlüsselte Chat-Anwendungen ausgeben.
Die beiden beleidigenden Apps sind FlyGram e Signal Plus Messenger, heruntergeladen von Tausenden von Benutzern in Europa und den Vereinigten Staaten. Aber ESET hat auch Entdeckungen in der Ukraine und anderen Ländern auf der ganzen Welt gemeldet. Anschließend wurden beide Apps aus Google Play entfernt.
„Der Schadcode von BadBazaar war in von Trojanern betroffenen Apps von Signal und Telegram versteckt, die den Opfern ein funktionierendes App-Erlebnis bieten, jedoch mit Spionageaktivitäten im Hintergrund“, erklärt er Lukáš Štefanko, ESET-Forscher Wer hat die Entdeckung gemacht? „Der Hauptzweck von BadBazaar besteht darin, Ihre Geräteinformationen, Ihre Kontaktliste, Anrufprotokolle und die Liste der installierten Apps zu exfiltrieren und Signal-Nachrichten auszuspionieren, indem die Signal Plus Messenger-App des Opfers heimlich mit dem Gerät des Angreifers verbunden wird.“
Insbesondere FlyGram – die gefälschte Telegram-App – kann das Zugriff auf Telegram-Backups wenn der Benutzer eine von den Angreifern eingefügte Sonderfunktion aktiviert hat. Diese Spyware-Funktion wurde von mindestens 13.953 Benutzerkonten aktiviert.
Sie können alle verfügbaren Updates zu GREF-Spyware-Kampagnen in Bezug auf BadBazaar und andere Apps auf der offiziellen ESET WeLiveSecurity-Website verfolgen.