Signal i Telegram: zainfekowane fałszywki szpiegują Polaków

Podrobione aplikacje Signala i Telegramu trafiły do Google Play oraz Samsung Galaxy Store i były dostępne na kilku rynkach, w tym w Polsce. ESET wykrył zagrożenie i zgłosił administratorom sklepów, ale usuwanie programów z serwerów nie przebiegło tak, jak można by tego oczekiwać.

Szczegóły sprawy opisuje Niebezpiecznik. Jak podaje, zagrożeniem w fałszywych wersjach komunikatorów okazało się zaszyte oprogramowanie szpiegujące BadBazaar. Spreparowane aplikacje to kolejno Signal Plus Messenger - udający oryginalnego Signala oraz FlyGram, który miał przypominać użytkownikom aplikację Telegram. Programy trafiły do Google Play oraz Samsung Galaxy Store i były dystrybuowane na kilku rynkach, w tym także na terenie Polski.

W przypadku sklepu z aplikacjami na Androida, Signal Plus Messenger został usunięty w maju bieżącego roku, zaś FlyGram jeszcze jeszcze w styczniu 2021 roku (trafił do Google Play pół roku wcześniej). Nieco gorzej wygląda sytuajca w przypadku sklepu Galaxy Store, w którym według doniesień Niebezpiecznika aplikacje można było znaleźć jeszcze wczoraj. Równolegle programy mogą być także nadal dostępne innymi drogami dystrybucji, w tym na spreparowanych stronach internetowych.

Główne zagrożenie w przypadku zainfekowanych wersji komunikatorów przez oprogramowanie BadBazaar to szeroko rozumiane zbieranie danych o użytkownikach. W przypadku podróbki Telegramu odnotowano pozyskiwanie listy kontaktów z telefonu, rejestrów połączeń, informacji o kontach Google oraz niektórych ustawień dotyczących autentycznej aplikacji Telegram. Nie szpiegowano za to samej komunikacji. W przypadku podróbki Signala - wręcz odwrotnie: poprzez manipulację użytkownik wiązał fałszywego Signala z aplikacją dekstopową atakującego, co pozwalało oszustowi na bieżąco odczytywać wiadomości - to w praktyce atak man-in-the-middle.

Dalsza część artykułu pod materiałem wideo

Użytkownicy Signala i Telegramu, którzy obawiają się, że mogli przez przypadek pobrać fałszywe aplikacje, najlepiej zrobią sprawdzając listę wszystkich programów w telefonie, by zweryfikować, czy nie ma wśród nich wymienionych fałszywych wersji. W przypadku Signala Niebezpiecznik sugeruje również sprawdzić Połączone urządzenia w aplikacji, by wykluczyć, czy ktoś wcześniej nie dostał się już do wiadomości. ESET sugeruje, że za atakiem i fałszywymi aplikacjami może stać chińska grupa nazywana GREF lub APT. Szczegółową analizę techniczną zagrożenia można znaleźć u źródła.