Sotto il radar dell’attenzione pubblica, i ricercatori di ESET hanno scoperto due campagne di spionaggio attive che hanno preso di mira gli utenti Android delle app di messaggistica crittografata Telegram e Signal.
Indice degli argomenti
L’APT filocinese GREF prende di mira Android con un trojan
Queste campagne, attribuite a un gruppo di minacce noto come APT GREF, con presunte connessioni alla Cina, sono state in corso molto probabilmente dal luglio 2020 e dal luglio 2022, rispettivamente per ciascuna delle due app.
La tattica utilizzata da questi aggressori è stata quella di distribuire il codice di spionaggio Android BadBazaar attraverso canali apparentemente legittimi, tra cui il Google Play Store, il Samsung Galaxy Store e siti web le cui pagine immedesimavano applicazioni di messaggistica crittografata. Le applicazioni dannose coinvolte in queste operazioni sono state riconosciute in “FlyGram” e “Signal Plus Messenger”.
Ciò che rende queste campagne di spionaggio particolarmente preoccupanti è il fatto che gli attaccanti hanno ottenuto le funzionalità delle legittime app di Signal e Telegram inserendo codice maligno all’interno delle versioni open-source di queste app per Android. Questo ha permesso loro di sfruttare in modo subdolo le comunicazioni e le informazioni personali degli utenti senza il loro consenso.
Lo sfruttamento dell’app Signal
L’aspetto più inquietante riguarda Signal Plus Messenger, che rappresenta il primo caso documentato di spionaggio delle comunicazioni su Signal. Migliaia di utenti hanno scaricato questa app spia, senza rendersi conto di essere stati compromessi.
Il codice dannoso BadBazaar nascosto all’interno di queste app infette si è dimostrato altamente efficace nell’esfiltrare una vasta gamma di informazioni, tra cui dati sul dispositivo, elenchi dei contatti, registri delle chiamate e lista delle app installate. Inoltre, BadBazaar ha avuto la capacità di spiare i messaggi di Signal, collegando segretamente l’app Signal Plus Messenger del dispositivo della vittima al dispositivo dell’aggressore.
La portata di queste campagne è stata impressionante, con rilevamenti segnalati in diverse regioni del mondo, tra cui Australia, Brasile, Danimarca, Repubblica Democratica del Congo, Germania, Hong Kong, Ungheria, Lituania, Paesi Bassi, Polonia, Portogallo, Singapore, Spagna, Ucraina, Stati Uniti e Yemen.
Inoltre, è stato scoperto che un link verso l’app FlyGram è stato condiviso all’interno di un gruppo Telegram associato agli uiguri, indicando che queste applicazioni malevole sono state utilizzate anche per scopi di spionaggio contro minoranze etniche turche al di fuori della Cina.
La risposta di Google
La collaborazione di ESET con Google App Defense Alliance ha portato alla tempestiva individuazione della versione più recente di Signal Plus Messenger come applicazione dannosa, con la conseguente rimozione immediata dalla piattaforma Google Play Store. Entrambe le app dannose sono state sviluppate dallo stesso autore e condividono le stesse funzionalità malevole. Le descrizioni delle app su entrambi gli store facevano riferimento allo stesso sito web dello sviluppatore.
Il meccanismo di spionaggio utilizzato da Signal Plus Messenger è stato descritto come unico e senza precedenti dai ricercatori di ESET. Il malware era in grado di collegare il dispositivo compromesso dell’utente a quello dell’aggressore, consentendo l’accesso ai messaggi di Signal, un exploit senza precedenti fino ad oggi. ESET Research ha informato gli sviluppatori di Signal di questa vulnerabilità per consentire loro di implementare misure di sicurezza adeguate.
Il trojan che sfrutta FlyGram
Per quanto riguarda FlyGram, la falsa app di Telegram, essa operava sfruttando la procedura di accesso legittima di Telegram stessa. Prima che l’utente completasse l’accesso, FlyGram avviava comunicazioni con un server di command and control (C&C), permettendo a BadBazaar di esfiltrare dati sensibili dal dispositivo.
Inoltre, è stato scoperto che FlyGram poteva accedere ai backup di Telegram, a patto che l’utente avesse attivato una specifica funzione aggiunta dagli aggressori. Questa funzione è stata attivata da almeno 13.953 account utente.
Va sottolineato che il server proxy dell’attaccante poteva registrare alcuni metadati, ma non aveva la capacità di decifrare i dati e i messaggi effettivamente scambiati all’interno di Telegram. A differenza di Signal Plus Messenger, FlyGram non aveva la capacità di collegare un account Telegram all’attaccante o di intercettare le comunicazioni crittografate delle sue vittime.
I consigli per mitigare il rischio
Queste scoperte da parte di ESET evidenziano l’importanza della vigilanza costante nella cibersicurezza e la necessità di proteggere le app di messaggistica crittografata da attacchi sofisticati.
Gli utenti sono invitati a essere prudenti nello scaricare applicazioni da fonti non verificate e a mantenere sempre il proprio software e le app aggiornate per garantire una protezione adeguata contro minacce online sempre più avanzate.
La collaborazione tra le aziende di sicurezza informatica e i fornitori di servizi online è cruciale per rilevare e affrontare queste minacce in modo tempestivo e efficace, al fine di proteggere la privacy e la sicurezza degli utenti di tutto il mondo.
