Mateusz Slodkowski/SOPA Images/LightRocket via Getty Images
Pesquisadores disseram na quarta-feira que encontraram aplicativos falsos no Google Play que se disfarçaram como legítimos para as plataformas de mensagens Signal e Telegram. Os aplicativos maliciosos podem extrair mensagens ou outras informações confidenciais de contas legítimas quando os usuários realizam determinadas ações.
Um aplicativo chamado Signal Plus Messenger esteve disponível no Play por nove meses e foi baixado do Play cerca de 100 vezes antes de o Google retirá-lo do ar em abril passado, após ser avisado pela empresa de segurança ESET. Também estava disponível na app store da Samsung e no signalplus[.]org, um site dedicado que imita o Signal.org oficial. Enquanto isso, um aplicativo chamado FlyGram foi criado pelo mesmo agente da ameaça e estava disponível pelos mesmos três canais. O Google o removeu do Play em 2021. Ambos os aplicativos permanecem disponíveis na loja Samsung.
Ambos os aplicativos foram desenvolvidos em código-fonte aberto disponível no Signal e no Telegram. Entrelaçada nesse código estava uma ferramenta de espionagem rastreada como BadBazaar. O Trojan foi vinculado a um grupo de hackers alinhado à China, conhecido como GREF. O BadBazaar já foi usado anteriormente para atingir os uigures e outras minorias étnicas turcas. O malware FlyGram também foi compartilhado em um grupo Uyghur Telegram, alinhando-o ainda mais ao direcionamento anterior da família de malware BadBazaar.
O Signal Plus pode monitorar mensagens e contatos enviados e recebidos se as pessoas conectarem seus dispositivos infectados ao seu número legítimo do Signal, como é normal quando alguém instala o Signal pela primeira vez em seu dispositivo. Isso fez com que o aplicativo malicioso enviasse uma série de informações privadas ao invasor, incluindo o número IMEI do dispositivo, número de telefone, endereço MAC, detalhes da operadora, dados de localização, informações de Wi-Fi, e-mails para contas do Google, lista de contatos e um PIN usado para transferir textos caso tenha sido configurado pelo usuário.
A captura de tela a seguir mostra as informações em trânsito do dispositivo infectado para o servidor do invasor:
Prolongar / BadBazaar enviando informações do dispositivo para seu servidor C&C.
ESET
O Signal Plus também abusou de um recurso legítimo do Signal que conecta o dispositivo que executa o sinal a um desktop ou iPad para que os usuários possam enviar e receber textos em uma variedade maior de dispositivos. O processo de vinculação exige que o usuário baixe o aplicativo para desktop ou iPad e, uma vez instalado, use-o para exibir um código QR vinculado a uma chave exclusiva, como sgnl://linkdevice?uuid=fV2MLK3P_FLFJ4HOpA&pub_key=1cCVJIyt2uPJK4fWvXt0m6XEBN02qJG7pc%2BmvQa. O Signal Plus representa o primeiro caso conhecido de um aplicativo que espiona as comunicações do Signal de uma vítima, vinculando secretamente automaticamente o dispositivo comprometido ao dispositivo Signal do invasor.
O pesquisador da ESET Lukas Stefanko escreveu:
O Signal Plus Messenger pode espionar mensagens do Signal usando indevidamente o recurso de link do dispositivo. Isso é feito conectando automaticamente o dispositivo comprometido ao dispositivo Signal do invasor. Este método de espionagem é único, pois nunca vimos essa funcionalidade sendo mal utilizada por outro malware antes, e este é o único método pelo qual o invasor pode obter o conteúdo das mensagens do Signal.
BadBazaar, o malware responsável pela espionagem, ignora a verificação usual do código QR e o processo de clique do usuário, recebendo o URI necessário de seu servidor C&C e acionando diretamente a ação necessária quando o botão Vincular dispositivo é clicado. Isso permite que o malware vincule secretamente o smartphone da vítima ao dispositivo do invasor, permitindo-lhes espionar as comunicações do Signal sem o conhecimento da vítima, conforme ilustrado na Figura 12.
Prolongar / Mecanismo de vinculação das comunicações Signal da vítima ao invasor.
ESET
A ESET Research informou os desenvolvedores do Signal sobre esta lacuna. O serviço de mensagens criptografadas indicou que os agentes de ameaças podem alterar o código de qualquer aplicativo de mensagens e promovê-lo de maneira enganosa ou enganosa. Nesse caso, se os clientes oficiais do Signal exibissem uma notificação sempre que um novo dispositivo fosse vinculado à conta, a versão falsa poderia simplesmente desativar esse caminho de código para ignorar o aviso e ocultar quaisquer dispositivos vinculados de forma maliciosa. A única maneira de evitar ser vítima de um Signal falso – ou de qualquer outro aplicativo de mensagens malicioso – é baixar apenas versões oficiais de tais aplicativos, apenas de canais oficiais.
Durante nossa pesquisa, o servidor não retornou ao dispositivo um URI para vinculação, indicando que isso provavelmente está habilitado apenas para usuários específicos, com base nos dados enviados anteriormente pelo malware ao servidor C&C.
Em um comunicado, a presidente da Signal Foundation, Meredith Whittaker, escreveu:
Estamos felizes que a Play Store tenha eliminado esse malware pernicioso disfarçado de Signal de sua plataforma e esperamos que eles façam mais no futuro para evitar golpes predatórios por meio de sua plataforma.
Estamos profundamente preocupados com todos que confiaram e baixaram este aplicativo. Instamos a Samsung e outros a agirem rapidamente para remover este malware.
A descoberta desta capacidade passou em grande parte despercebida até agora. Ele ressalta a importância de baixar apenas a versão legítima do Signal e verificar periodicamente Configurações > Dispositivos vinculados para garantir que nenhum dispositivo não reconhecido apareça.
