Trojanisierte Signal- und Telegram-Apps auf Google Play verbreiteten Spyware

Trojanisierte Signal- und Telegram-Apps, die die BadBazaar-Spyware enthielten, wurden von einer chinesischen APT-Hackergruppe namens GREF auf Google Play und den Samsung Galaxy Store hochgeladen.

Diese Malware wurde zuvor gegen ethnische Minderheiten in China eingesetzt. Die Telemetrie von ESET zeigt jedoch, dass die Angreifer dieses Mal Benutzer in der Ukraine, Polen, den Niederlanden, Spanien, Portugal, Deutschland, Hongkong und den Vereinigten Staaten im Visier haben.

Zu den Funktionen von BadBazaar gehören die Verfolgung des genauen Standorts des Geräts, das Stehlen von Anrufprotokollen und SMS, das Aufzeichnen von Telefonanrufen, das Aufnehmen von Bildern mit der Kamera, das Exfiltrieren von Kontaktlisten und das Stehlen von Dateien oder Datenbanken.

Die trojanisierten Apps, die BadBazaar-Code enthalten, wurden vom ESET-Forscher Lukas Stefanko entdeckt.

Die beiden Apps, die GREF in seiner Kampagne verwendet, heißen „Signal Plus Messenger“ und „FlyGram“. Bei beiden handelt es sich um gepatchte Versionen der beliebten Open-Source-IM-Apps Signal und Telegram.

Die Bedrohungsakteure richteten außerdem spezielle Websites unter „signalplus[.]org“ und „flygram[.]org“ ein, um der Malware-Kampagne Legitimität zu verleihen, und bieten Links zur Installation der App von Google Play oder direkt von der Website aus.

ESET berichtet, dass FlyGram auf sensible Daten wie Kontaktlisten, Anrufprotokolle, Google-Konten und WLAN-Daten abzielt und außerdem eine gefährliche Backup-Funktion bietet, die Telegram-Kommunikationsdaten an einen vom Angreifer kontrollierten Server sendet.

Die Analyse der verfügbaren Daten zeigt, dass mindestens 13.953 FlyGram-Benutzer diese Sicherungsfunktion aktiviert haben, die Gesamtzahl der Benutzer der Spyware-App jedoch nicht definiert ist.

Der Signal-Klon sammelt ähnliche Informationen, konzentriert sich jedoch mehr auf die Extraktion signalspezifischer Informationen wie der Kommunikation des Opfers und der PIN, die sein Konto vor unbefugtem Zugriff schützt.

Die gefälschte Signal-App enthält jedoch eine Funktion, die den Angriff interessanter macht, da sie es dem Angreifer ermöglicht, die Signal-Konten eines Opfers mit vom Angreifer kontrollierten Geräten zu verknüpfen, damit die Angreifer zukünftige Chat-Nachrichten sehen können.

Signal verfügt über eine QR-Code-basierte Funktion, mit der Sie mehrere Geräte mit einem einzigen Konto verknüpfen können, sodass Chat-Nachrichten von allen Geräten angezeigt werden können.

Der bösartige Signal Plus Messenger missbraucht diese Funktion, indem er den QR-Code-Verknüpfungsprozess umgeht und seine eigenen Geräte automatisch mit den Signal-Konten des Opfers verknüpft, ohne dass das Opfer davon weiß. Dadurch können die Angreifer alle zukünftigen Nachrichten überwachen, die vom Signal-Konto gesendet werden.

„BadBazaar, die für die Spionage verantwortliche Malware, umgeht den üblichen QR-Code-Scan- und Benutzerklickprozess, indem sie den erforderlichen URI von ihrem C&C-Server erhält und direkt die erforderliche Aktion auslöst, wenn auf die Schaltfläche „Gerät verknüpfen“ geklickt wird“, erklärt ESET.

„Dadurch kann die Malware das Smartphone des Opfers heimlich mit dem Gerät des Angreifers verknüpfen und so Signalkommunikation ohne Wissen des Opfers ausspionieren, wie in Abbildung 12 dargestellt.“

Laut ESET wurde diese Methode zum Ausspionieren von Signal schon früher verwendet, da sie die einzige Möglichkeit sei, an den Inhalt von Signal-Nachrichten zu gelangen.

Um herauszufinden, ob unerwünschte Geräte mit Ihrem Signal-Konto verknüpft sind, starten Sie die echte Signal-App, gehen Sie zu Einstellungen und tippen Sie auf die Option „Verknüpfte Geräte“, um alle verbundenen Geräte anzuzeigen und zu verwalten.

FlyGram wurde im Juli 2020 auf Google Play hochgeladen und am 6. Januar 2021 entfernt, nachdem es über diesen Kanal insgesamt 5.000 Installationen gab.

Signal Plus Messenger wurde im Juli 2022 bei Google Play und im Samsung Galaxy Store hochgeladen und am 23. Mai 2023 von Google entfernt.

Zum Zeitpunkt des Verfassens dieses Artikels bestätigte BleepingComputer, dass beide Apps noch im Samsung Galaxy Store verfügbar waren.

Android-Benutzern wird empfohlen, die Originalversionen von Signal und Telegram zu verwenden und das Herunterladen von Fork-Apps zu vermeiden, die einen verbesserten Datenschutz oder zusätzliche Funktionen versprechen, selbst wenn diese in offiziellen App-Stores erhältlich sind.

Apps mit 1,5 Millionen Installationen bei Google Play senden Ihre Daten nach China

Neue Android-MMRat-Malware nutzt das Protobuf-Protokoll, um Ihre Daten zu stehlen

Tausende Android-APKs nutzen einen Komprimierungstrick, um die Analyse zu vereiteln

Xiaomis MIUI kennzeichnet Telegram jetzt als gefährlich in China

Hacker stehlen Signal- und WhatsApp-Benutzerdaten mit gefälschter Android-Chat-App