Forscher sagten am Mittwoch, sie hätten in Google Play gefälschte Apps gefunden, die sich als legitime Apps für die Messaging-Plattformen Signal und Telegram ausgab. Die bösartigen Apps könnten Nachrichten oder andere vertrauliche Informationen von legitimen Konten abrufen, wenn Benutzer bestimmte Aktionen ausführen.
Eine App mit dem Namen Signal Plus Messenger war neun Monate lang bei Play verfügbar und wurde etwa 100 Mal von Play heruntergeladen, bevor Google sie letzten April nach einem Hinweis der Sicherheitsfirma ESET abschaltete. Es war auch im Samsung App Store und auf signalplus[.]org verfügbar, einer speziellen Website, die der offiziellen Website Signal.org nachempfunden ist. Eine App namens FlyGram wurde unterdessen von demselben Bedrohungsakteur erstellt und war über dieselben drei Kanäle verfügbar. Google hat es 2021 aus Play entfernt. Beide Apps sind weiterhin im Samsung Store verfügbar.
Beide Apps basieren auf Open-Source-Code, der von Signal und Telegram erhältlich ist. In diesen Code war ein Spionagetool mit der Bezeichnung BadBazaar eingearbeitet. Der Trojaner wurde mit einer mit China verbündeten Hackergruppe unter dem Namen GREF in Verbindung gebracht. BadBazaar wurde bereits früher zur gezielten Bekämpfung von Uiguren und anderen türkischen ethnischen Minderheiten eingesetzt. Die FlyGram-Malware wurde auch in einer uigurischen Telegram-Gruppe geteilt, was sie weiter mit früheren Angriffen der BadBazaar-Malware-Familie in Einklang bringt.
Signal Plus könnte gesendete und empfangene Nachrichten und Kontakte überwachen, wenn Personen ihr infiziertes Gerät mit ihrer legitimen Signal-Nummer verbinden, wie es normal ist, wenn jemand Signal zum ersten Mal auf seinem Gerät installiert. Dadurch sendete die bösartige App eine Vielzahl privater Informationen an den Angreifer, darunter die IMEI-Nummer des Geräts, die Telefonnummer, die MAC-Adresse, Betreiberdetails, Standortdaten, WLAN-Informationen, E-Mails für Google-Konten, eine Kontaktliste usw Für die Übertragung von Textnachrichten verwendete PIN, sofern diese vom Benutzer eingerichtet wurde.
Quelle: arstechnica
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
