Os falsos mensageiros Signal e Telegram se infiltraram no Google Play Market e em outras lojas de aplicativos

Aplicativos falsos disfarçados de mensageiros populares Signal e Telegram foram descobertos na Google Play Store e na loja de aplicativos Samsung. Esses aplicativos maliciosos podem interceptar mensagens e outras informações confidenciais de contas de usuários reais.

Fonte da imagem: mohamed_hassan / Pixabay

Os pesquisadores descobriram que um aplicativo chamado Signal Plus Messenger estava disponível na Google Play Store há 9 meses e foi baixado cerca de 100 vezes antes de o Google removê-lo em abril passado. Isso aconteceu após um aplicativo malicioso ter sido reportado pela ESET, empresa especializada no desenvolvimento de softwares antivírus e soluções de segurança da informação.

Um aplicativo semelhante chamado FlyGram foi criado pelo mesmo grupo de invasores e também estava disponível na Google Play Store, na loja de aplicativos da Samsung e em seu próprio site. Apesar de terem sido removidos da Google Play Store, ambos os aplicativos ainda estão disponíveis na Samsung Store.

Aplicativos maliciosos foram criados com base no código-fonte aberto do Signal e do Telegram. Incorporada neste código está uma ferramenta de espionagem conhecida como BadBazaar. Este Trojan está associado ao grupo de hackers GREF, que se acredita estar relacionado com a China. Anteriormente, o BadBazaar era usado para atingir os uigures e outras minorias étnicas turcas.

Trojan BadBazaar enviando informações sobre um dispositivo infectado para o servidor dos cibercriminosos (fonte da imagem: ESET)

O Signal Plus Messenger poderia rastrear mensagens e contatos enviados e recebidos se os usuários conectassem seus dispositivos ao seu número real no Signal. Isso fez com que o aplicativo malicioso enviasse uma grande quantidade de informações pessoais aos invasores, incluindo o número IMEI do dispositivo, número de telefone, endereço MAC, dados da operadora, dados de localização, informações de Wi-Fi, endereços de e-mail da conta do Google, lista de contatos e PIN. código usado para enviar textos.

Mecanismo para que invasores obtenham acesso às comunicações da vítima no Signal (fonte da imagem: ESET)

O pesquisador da ESET Lukas Stefanko escreveu: “O Signal Plus Messenger pode espionar mensagens do Signal abusando do recurso de emparelhamento de dispositivos. Este método de espionagem é único, pois não encontramos anteriormente abusos semelhantes por parte de outros malwares.” O BadBazaar ignora a verificação padrão do código QR, obtendo o URI necessário de seu servidor de comando e controle (C&C), permitindo que os invasores emparelhem secretamente o dispositivo da vítima com o seu dispositivo.