Des chercheurs identifient deux campagnes actives ciblant les utilisateurs d’Android. L’acteur opérant ces outils d’espionnage pour Telegram et Signal sont attribués au groupe APT GREF, aligné sur les intérêts de la Chine.
Très probablement actives depuis juillet 2020 et depuis juillet 2022, respectivement pour chaque application malveillante, les campagnes ont distribué le code d’espionnage Android BadBazaar via le Google Play Store, le Samsung Galaxy Store et des sites Web dédiés se faisant passer pour des applications de chat légitimes – les applications malveillantes sont FlyGram et Signal Plus Messenger.
Les fausses applications Signal et Telegram sont obtenues en ajoutant aux applications open source Signal et Telegram pour Android du code malveillant. Signal Plus Messenger est le premier cas documenté d’espionnage des communications Signal; Des milliers d’utilisateurs ont téléchargé les applications d’espionnage.
ESET a signalé des détections sur des appareils Android dans plusieurs pays de l’UE, aux États-Unis, en Ukraine et dans d’autres endroits du monde. Les deux applications ont ensuite été supprimées de Google Play.
« Le code malveillant de la famille BadBazaar était caché dans les applications Signal et Telegram troyenisées. Les victimes installent une d’application fonctionnelle, mais avec des moyens d’espionnage en arrière-plan, explique Lukáš Štefanko, chercheur à ESET, qui a fait la découverte. « L’objectif principal de BadBazaar est d’exfiltrer les informations de l’appareil, la liste de contacts, les journaux d’appels et la liste des applications installées. En plus, l’application espionne les messages Signal en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant« .
ESET signale les détections de l’Australie, du Brésil, du Danemark, de la République démocratique du Congo, de l’Allemagne, de Hong Kong, de la Hongrie, de la Lituanie, des Pays-Bas, de la Pologne, du Portugal, de Singapour, de l’Espagne, de l’Ukraine, des États-Unis et du Yémen.
En outre, un lien vers FlyGram dans le Google Play Store a également été partagé dans un groupe Telegram ouïghour. Les applications de la famille de logiciels malveillants BadBazaar ont déjà été utilisées contre les Ouïghours et d’autres minorités ethniques turques en dehors de la Chine.
Les deux applications ont été créées par le même développeur et partagent les mêmes fonctionnalités malveillantes, et les descriptions d’applications sur les deux magasins font référence au même site Web de développeur.
Signal Plus Messenger peut espionner les messages Signal en utilisant à mauvais escient la fonction « périphérique connecté ». Pour ce faire, il associe automatiquement l’appareil compromis au dispositif Signal de l’attaquant. Cette méthode d’espionnage est unique : les chercheurs n’ont jamais vu cette fonctionnalité utilisée à mauvais escient par d’autres logiciels malveillants, et c’est la seule méthode par laquelle l’attaquant peut obtenir le contenu des messages Signal.
En ce qui concerne la fausse application Telegram, FlyGram, la victime doit se connecter via sa fonctionnalité Telegram légitime, comme l’exige l’application officielle Telegram. Avant la fin de la connexion, FlyGram communique avec le serveur C & C et BadBazaar et obtient la possibilité d’exfiltrer des informations sensibles de l’appareil.
FlyGram peut accéder aux sauvegardes Telegram si l’utilisateur a activé cette fonctionnalité spécifique; La fonctionnalité a été activée par au moins 13 953 comptes d’utilisateurs. Le serveur proxy de l’attaquant peut être en mesure d’enregistrer certaines métadonnées, mais il ne peut pas déchiffrer les données et les messages réels échangés dans Telegram lui-même.
Contrairement au Signal Plus Messenger, FlyGram n’a pas la capacité de lier un compte Telegram à l’attaquant ou d’intercepter les communications chifrées de ses victimes.