ESET Research identificeerde twee actieve campagnes gericht op Android-gebruikers, waarbij de bedreigingsactoren achter de tools voor Telegram en Signal toegeschreven worden aan GREF, een aan China gelinkte APT-groep. De campagnes zijn hoogstwaarschijnlijk actief sinds juli 2020 en juli 2022 en hebben voor elke schadelijke app de Android BadBazaar-spionagecode verspreid via Google Play Store, Samsung Galaxy Store en speciale websites die zich als legitieme gecodeerde chat-apps voordoen. Deze apps zijn FlyGram en Signal Plus Messenger.
· ESET Research ontdekte getrojaniseerde Signal- en Telegram-apps voor Android, genaamd Signal Plus Messenger en FlyGram, op Google Play en de Samsung Galaxy Store. Beide apps werden later van Google Play verwijderd.
· Signal Plus Messenger is het eerste gedocumenteerde geval van het bespioneren van de Signal-communicatie van een slachtoffer door zijn toestel heimelijk automatisch te koppelen aan het Signal-toestel van de aanvaller.
· De schadelijke code gevonden in deze apps wordt toegeschreven aan de BadBazaar-malwarefamilie, in het verleden gebruikt door GREF, een aan China gelinkte APT-groep.
· Duizenden gebruikers hebben de apps gedownload. ESET-telemetrie rapporteerde detecties op Android-toestellen in EU-landen, de VS, Oekraïne en andere plaatsen in de wereld.
· BadBazaar-malware is eerder gebruikt om Oeigoeren en andere Turkse etnische minderheden aan te vallen. FlyGram-malware werd ook gebruikt in de Uyghur Telegram-groep, wat aansluit bij eerdere doeleinden van de BadBazaar-malwarefamilie.
BRATISLAVA, 30 augustus 2023 — ESET Research identificeerde twee actieve campagnes gericht op Android-gebruikers, waarbij de bedreigingsactoren achter de tools voor Telegram en Signal toegeschreven worden aan GREF, een aan China gelinkte APT-groep. De campagnes zijn hoogstwaarschijnlijk actief sinds juli 2020 en juli 2022 en hebben voor elke schadelijke app de Android BadBazaar-spionagecode verspreid via Google Play Store, Samsung Galaxy Store en speciale websites die zich als legitieme gecodeerde chat-apps voordoen. Deze apps zijn FlyGram en Signal Plus Messenger. De bedreigingsactoren verkregen de functionaliteiten in de nep-Signal- en Telegram-apps door de open-source Signal- en Telegram-apps voor Android te patchen met schadelijke code. Signal Plus Messenger is het eerste gedocumenteerde geval van het bespioneren van de Signal-communicatie van een slachtoffer; duizenden gebruikers hebben de spionage-apps gedownload. ESET-telemetrie rapporteerde detecties op Android-toestellen in verschillende EU-landen, de VS, Oekraïne en andere landen. Beide apps werden later van Google Play verwijderd.
“Schadelijke code van de BadBazaar-familie was verborgen in de getrojaniseerde Signal- en Telegram-apps. Deze bieden slachtoffers een werkende app-ervaring, maar met spionage op de achtergrond”, zegt Lukáš Štefanko, de ESET-onderzoeker die de ontdekking deed. “Het hoofddoel van BadBazaar is het exfiltreren van informatie over het toestel, de contactenlijst, logboeken en de lijst met geïnstalleerde apps. Het bespioneert Signal-berichten door in het geheim de Signal Plus Messenger-app van het slachtoffer te koppelen aan het toestel van de aanvaller”, verduidelijkt hij.
ESET-telemetrie rapporteert detecties uit Australië, Brazilië, Denemarken, de Democratische Republiek Congo, Duitsland, Hong Kong, Hongarije, Litouwen, Nederland, Polen, Portugal, Singapore, Spanje, Oekraïne, de Verenigde Staten en Jemen. Er werd ook een link naar FlyGram in de Google Play Store gedeeld in de Uyghur Telegram-groep. Apps van de BadBazaar-malwarefamilie werden eerder gebruikt tegen Oeigoeren en andere Turkse etnische minderheden buiten China.
Als partner van de Google App Defense Alliance heeft ESET de meest recente versie van Signal Plus Messenger als kwaadaardig geïdentificeerd en zijn bevindingen onmiddellijk met Google gedeeld. Na deze melding is de app uit de Store verwijderd. Beide apps zijn gemaakt door dezelfde ontwikkelaar en delen dezelfde schadelijke functies. In beide winkels verwijzen de app-beschrijvingen naar dezelfde ontwikkelaarssite.
Na de eerste start van de app moet de gebruiker inloggen op Signal Plus Messenger via de legitieme Signal-functionaliteit, net zoals bij de officiële Signal-app voor Android. Eenmaal ingelogd begint Signal Plus Messenger te communiceren met zijn command and control (C&C) server. Signal Plus Messenger kan Signal-berichten bespioneren door de functie “toestel koppelen” te misbruiken. Het gecompromitteerde toestel wordt automatisch verbonden met het Signal-toestel van de aanvaller.
Deze spionagemethode is uniek: ESET-onderzoekers zagen nooit eerder dat deze functionaliteit door andere malware werd misbruikt. Het is ook de enige methode waarmee de aanvaller de inhoud van Signal-berichten kan verkrijgen. ESET Research heeft de ontwikkelaars van Signal over dit probleem ingelicht.
Bij de nep-Telegram-app FlyGram moet het slachtoffer inloggen via de legitieme Telegram-functionaliteit, zoals de officiële Telegram-app het vereist. Voor het inloggen voltooid is, communiceert FlyGram met de C&C-server en krijgt BadBazaar de mogelijkheid om gevoelige informatie van het toestel te exfiltreren. FlyGram heeft toegang tot Telegram-back-ups als de gebruiker een specifieke functie heeft ingeschakeld die door de aanvallers is toegevoegd; de functie werd reeds door ten minste 13.953 gebruikersaccounts geactiveerd. De proxyserver van de aanvaller kan bepaalde metadata loggen, maar kan de daadwerkelijke gegevens en berichten die binnen Telegram zelf worden uitgewisseld niet decoderen. In tegenstelling tot de Signal Plus Messenger kan FlyGram geen Telegram-account aan de aanvaller koppelen of de gecodeerde communicatie van zijn slachtoffers onderscheppen.
Voor meer technische informatie over de nieuwste campagnes van GREF, over BadBazaar en de getrojaniseerde spionage-apps, bekijk de blog “BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps”op www.welivesecurity.com. Volg ook ESET Research op X (Twitter) ESET Research on X (Twitter) voor het laatste nieuws over ESET Research.