Китайські хакери отримують доступ до особистих даних користувачів за допомогою підроблених програм для обміну повідомленнями. Це включає вміст повідомлення, контактні дані та журнали викликів. Особливо віроломно: дві помилки, замасковані під законні програми, були доступні в офіційних магазинах програм Google Play і Samsung Galaxy Store.
Додатки поки доступні від корейського виробника. До травня 2023 року хакери атакували тисячі користувачів по всьому світу. Головна ціль – Німеччина. Команда під керівництвом дослідника ESET Лукаса Стефанко виявила два додатки «Signal Plus Messenger» і «FlyGram», які маскуються під законні месенджери Signal і Telegram. Обидва встановлюють шпигунське програмне забезпечення BadBazaar, яке раніше використовувалося для пригнічення уйгурів та інших меншин у Китаї.
Фейкові програми для Signal і Telegram
Шпигунські програми мають ті ж функції, що й оригінальні програми: користувачі можуть використовувати їх для написання повідомлень і надсилання фотографій, не викликаючи підозр. Обидві програми було видалено з Google Play Store після того, як їх виявила ESET, але вони ще довгий час були доступні в Samsung Galaxy Store. Фальшиві програми все ще можна знайти на різних сайтах із програмами та файлами APK.
Як діяли хакери
Signal і Telegram є програмами з відкритим кодом. Це означає, що кожен може переглядати та змінювати ваш вихідний код. Хакери скористалися цим, додавши свій шкідливий код до базової структури месенджерів. Потім вони опублікували їх у магазинах додатків. Перевага цього методу для кіберзлочинців полягає в тому, що «нова» програма має ті самі функції, що й оригінальна, створюючи видимість законності. На практиці користувачі не помічають жодної різниці з офіційним додатком.
Після першого запуску Signal Messenger Plus користувачеві потрібно ввійти в систему, як і в офіційній програмі Signal для Android. Потім зловмисне програмне забезпечення підключається до серверів хакерів. Додаток шпигує за повідомленнями, неправильно використовуючи функцію «Підключити пристрій». Це робиться шляхом автоматичного підключення скомпрометованого пристрою до пристрою Signal зловмисника. Цей метод шпигунства унікальний тим, що до цього часу цією функцією ніколи не зловживали шкідливі програми.
Підроблений додаток Telegram FlyGram
Жертва також авторизується у фейковій програмі Telegram FlyGram, як того вимагає офіційний месенджер. Ще до завершення реєстрації FlyGram і зловмисне програмне забезпечення BadBazaar мають можливість викрасти конфіденційну інформацію з пристрою. FlyGram може отримати доступ до резервних копій Telegram, якщо користувач увімкнув певну функцію, додану хакерами. Ця функція була активна щонайменше в 13.953 XNUMX облікових записах користувачів. Зловмисники можуть використовувати FlyGram для реєстрації деяких метаданих, таких як списки контактів, журнали викликів, а також інформацію про пристрій і мережу. Однак хакери не мають доступу до даних і повідомлень, надісланих у Telegram.
Це стосується користувачів у всьому світі
🔎 Фальшиві програми для Signal і Telegram були найбільш поширені в цих країнах (Зображення: ESET).
ESET зареєструвала фальшиву активність додатків у багатьох країнах і регіонах. Особливо постраждали пристрої Android у Європі, особливо в Німеччині та Польщі. Зловмисне програмне забезпечення також активно в Австралії, Південній Америці, Африці та Північній і Південній Америці. Крім того, кіберзлочинці розповсюдили посилання на FlyGram у магазині Google Play в уйгурській групі Telegram. Програми сімейства шкідливих програм BadBazaar раніше використовували проти уйгурів та інших тюркомовних етнічних меншин за межами Китаю.
Остерігайтеся додатків від невідомих розробників
Встановлюючи служби обміну повідомленнями та інші програми, користувачі завжди повинні звертати увагу на розробника або компанію, що стоїть за послугою. Якщо сумніваєтеся, завжди вибирайте офіційного виробника. Два підроблені месенджери все ще можна завантажити з магазину Samsung Galaxy Store і різних сторонніх сайтів. За жодних обставин користувачам не дозволяється встановлювати їх на свої смартфони. Також бажано використовувати програму безпеки, в тому числі на мобільних пристроях. Це запобігає завантаженню або встановленню програми на ранній стадії та запобігає зараженню системи.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.