Los investigadores dijeron el miércoles que encontraron aplicaciones falsas en Google Play que se hacían pasar por legítimas para las plataformas de mensajería Signal y Telegram. Las aplicaciones maliciosas podrían extraer mensajes u otra información confidencial de cuentas legítimas cuando los usuarios realizaron determinadas acciones.
Una aplicación con el nombre Signal Plus Messenger estuvo disponible en Play durante nueve meses y se descargó de Play aproximadamente 100 veces antes de que Google la eliminara en abril pasado después de que la firma de seguridad ESET le avisara. También estuvo disponible en la tienda de aplicaciones de Samsung y en signalplus.[.]org, un sitio web dedicado que imita el Signal.org oficial. Mientras tanto, una aplicación que se hace llamar FlyGram fue creada por el mismo actor de amenazas y estaba disponible a través de los mismos tres canales. Google la eliminó de Play en 2021. Ambas aplicaciones siguen disponibles en la tienda de Samsung.
Ambas aplicaciones se crearon con código fuente abierto disponible en Signal y Telegram. Entretejida en ese código había una herramienta de espionaje rastreada como BadBazaar. El troyano ha sido vinculado a un grupo de hackers alineado con China, identificado como GREF. BadBazaar se ha utilizado anteriormente para atacar a los uigures y otras minorías étnicas turcas. El malware FlyGram también se compartió en un grupo uigur de Telegram, alineándolo aún más con los ataques anteriores de la familia de malware BadBazaar.
Signal Plus podría monitorear los mensajes y contactos enviados y recibidos si las personas conectaran su dispositivo infectado a su número legítimo de Signal, como es normal cuando alguien instala Signal por primera vez en su dispositivo. Al hacerlo, la aplicación maliciosa envió una gran cantidad de información privada al atacante, incluido el número IMEI del dispositivo, el número de teléfono, la dirección MAC, los detalles del operador, los datos de ubicación, la información de Wi-Fi, los correos electrónicos de las cuentas de Google, la lista de contactos y un PIN utilizado para transferir mensajes de texto en caso de que el usuario haya configurado uno.
La siguiente captura de pantalla muestra la información en tránsito desde el dispositivo infectado al servidor atacante:
Agrandar / BadBazaar carga información del dispositivo en su servidor C&C.
ESET
Signal Plus también abusó de una función legítima de Signal que vincula el dispositivo que ejecuta Signal a una computadora de escritorio o iPad para que los usuarios puedan enviar y recibir mensajes de texto en una gama más amplia de dispositivos. El proceso de vinculación requiere que un usuario descargue la aplicación de escritorio o iPad y, una vez instalada, la use para mostrar un código QR que vincula a una clave única, como sgnl://linkdevice?uuid=fV2MLK3P_FLFJ4HOpA&pub_key=1cCVJIyt2uPJK4fWvXt0m6XEBN02qJG7pc%2BmvQa. Signal Plus representa el primer caso conocido de una aplicación que espía las comunicaciones de Signal de una víctima al vincular automáticamente en secreto el dispositivo comprometido al dispositivo Signal del atacante.
El investigador de ESET Lukas Stefanko escribió:
Signal Plus Messenger puede espiar los mensajes de Signal haciendo un mal uso de la función de enlace del dispositivo. Lo hace conectando automáticamente el dispositivo comprometido al dispositivo Signal del atacante. Este método de espionaje es único, ya que no hemos visto antes que otro malware haga un uso indebido de esta funcionalidad, y este es el único método mediante el cual el atacante puede obtener el contenido de los mensajes de Signal.
BadBazaar, el malware responsable del espionaje, omite el proceso habitual de escaneo de códigos QR y clic del usuario al recibir el URI necesario de su servidor C&C y desencadenar directamente la acción necesaria cuando se hace clic en el botón Vincular dispositivo. Esto permite que el malware vincule secretamente el teléfono inteligente de la víctima al dispositivo del atacante, lo que le permite espiar las comunicaciones de Signal sin el conocimiento de la víctima, como se ilustra en la Figura 12.
Agrandar / Mecanismo de vinculación de las comunicaciones de Signal de la víctima con el atacante.
ESET
ESET Research ha informado a los desarrolladores de Signal sobre esta laguna. El servicio de mensajería cifrada indicó que los actores de amenazas pueden alterar el código de cualquier aplicación de mensajería y promocionarla de manera engañosa o engañosa. En este caso, si los clientes oficiales de Signal mostraran una notificación cada vez que se vincula un nuevo dispositivo a la cuenta, la versión falsa podría simplemente desactivar esa ruta del código para evitar la advertencia y ocultar cualquier dispositivo vinculado maliciosamente. La única forma de evitar ser víctima de una Signal falsa (o de cualquier otra aplicación de mensajería maliciosa) es descargar únicamente versiones oficiales de dichas aplicaciones, únicamente desde canales oficiales.
Durante nuestra investigación, el servidor no ha devuelto al dispositivo un URI para vincular, lo que indica que lo más probable es que esto esté habilitado solo para usuarios específicos, según los datos enviados previamente por el malware al servidor C&C.
En un comunicado, la presidenta de la Signal Foundation, Meredith Whittaker, escribió:
Nos alegra que Play Store haya eliminado este pernicioso malware que se hace pasar por Signal de su plataforma y esperamos que hagan más en el futuro para prevenir estafas predatorias a través de su plataforma.
Estamos profundamente preocupados por cualquiera que haya confiado y descargado esta aplicación. Instamos a Samsung y a otros a actuar rápidamente para eliminar este malware.
El descubrimiento de esta capacidad ha pasado prácticamente desapercibido hasta ahora. Subraya la importancia de descargar solo la versión legítima de Signal y verificar periódicamente Configuración> Dispositivos vinculados para asegurarse de que no aparezcan dispositivos no reconocidos.
