\n<\/aside>\n<\/p>\n
Los investigadores dijeron el mi\u00e9rcoles que encontraron aplicaciones falsas en Google Play que se hac\u00edan pasar por leg\u00edtimas para las plataformas de mensajer\u00eda Signal y Telegram. Las aplicaciones maliciosas podr\u00edan extraer mensajes u otra informaci\u00f3n confidencial de cuentas leg\u00edtimas cuando los usuarios realizaron determinadas acciones.<\/p>\n
Una aplicaci\u00f3n con el nombre Signal Plus Messenger estuvo disponible en Play durante nueve meses y se descarg\u00f3 de Play aproximadamente 100 veces antes de que Google la eliminara en abril pasado despu\u00e9s de que la firma de seguridad ESET le avisara. Tambi\u00e9n estuvo disponible en la tienda de aplicaciones de Samsung y en signalplus.[.]org, un sitio web dedicado que imita el Signal.org oficial. Mientras tanto, una aplicaci\u00f3n que se hace llamar FlyGram fue creada por el mismo actor de amenazas y estaba disponible a trav\u00e9s de los mismos tres canales. Google la elimin\u00f3 de Play en 2021. Ambas aplicaciones siguen disponibles en la tienda de Samsung.<\/p>\n
Ambas aplicaciones se crearon con c\u00f3digo fuente abierto disponible en Signal y Telegram. Entretejida en ese c\u00f3digo hab\u00eda una herramienta de espionaje rastreada como BadBazaar. El troyano ha sido vinculado a un grupo de hackers alineado con China, identificado como GREF. BadBazaar se ha utilizado anteriormente para atacar a los uigures y otras minor\u00edas \u00e9tnicas turcas. El malware FlyGram tambi\u00e9n se comparti\u00f3 en un grupo uigur de Telegram, aline\u00e1ndolo a\u00fan m\u00e1s con los ataques anteriores de la familia de malware BadBazaar.<\/p>\n
Signal Plus podr\u00eda monitorear los mensajes y contactos enviados y recibidos si las personas conectaran su dispositivo infectado a su n\u00famero leg\u00edtimo de Signal, como es normal cuando alguien instala Signal por primera vez en su dispositivo. Al hacerlo, la aplicaci\u00f3n maliciosa envi\u00f3 una gran cantidad de informaci\u00f3n privada al atacante, incluido el n\u00famero IMEI del dispositivo, el n\u00famero de tel\u00e9fono, la direcci\u00f3n MAC, los detalles del operador, los datos de ubicaci\u00f3n, la informaci\u00f3n de Wi-Fi, los correos electr\u00f3nicos de las cuentas de Google, la lista de contactos y un PIN utilizado para transferir mensajes de texto en caso de que el usuario haya configurado uno.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nLa siguiente captura de pantalla muestra la informaci\u00f3n en tr\u00e1nsito desde el dispositivo infectado al servidor atacante:<\/p>\n\nAgrandar
\/<\/span> BadBazaar carga informaci\u00f3n del dispositivo en su servidor C&C.<\/div>\nESET<\/p>\n<\/figcaption><\/figure>\n
Signal Plus tambi\u00e9n abus\u00f3 de una funci\u00f3n leg\u00edtima de Signal que vincula el dispositivo que ejecuta Signal a una computadora de escritorio o iPad para que los usuarios puedan enviar y recibir mensajes de texto en una gama m\u00e1s amplia de dispositivos. El proceso de vinculaci\u00f3n requiere que un usuario descargue la aplicaci\u00f3n de escritorio o iPad y, una vez instalada, la use para mostrar un c\u00f3digo QR que vincula a una clave \u00fanica, como sgnl:\/\/linkdevice?uuid=fV2MLK3P_FLFJ4HOpA&pub_key=1cCVJIyt2uPJK4fWvXt0m6XEBN02qJG7pc%2BmvQa<\/code>. Signal Plus representa el primer caso conocido de una aplicaci\u00f3n que esp\u00eda las comunicaciones de Signal de una v\u00edctima al vincular autom\u00e1ticamente en secreto el dispositivo comprometido al dispositivo Signal del atacante.<\/p>\nEl investigador de ESET Lukas Stefanko escribi\u00f3:<\/p>\n
\nSignal Plus Messenger puede espiar los mensajes de Signal haciendo un mal uso de la funci\u00f3n de enlace del dispositivo. Lo hace conectando autom\u00e1ticamente el dispositivo comprometido al dispositivo Signal del atacante. Este m\u00e9todo de espionaje es \u00fanico, ya que no hemos visto antes que otro malware haga un uso indebido de esta funcionalidad, y este es el \u00fanico m\u00e9todo mediante el cual el atacante puede obtener el contenido de los mensajes de Signal.<\/p>\n
BadBazaar, el malware responsable del espionaje, omite el proceso habitual de escaneo de c\u00f3digos QR y clic del usuario al recibir el URI necesario de su servidor C&C y desencadenar directamente la acci\u00f3n necesaria cuando se hace clic en el bot\u00f3n Vincular dispositivo. Esto permite que el malware vincule secretamente el tel\u00e9fono inteligente de la v\u00edctima al dispositivo del atacante, lo que le permite espiar las comunicaciones de Signal sin el conocimiento de la v\u00edctima, como se ilustra en la Figura 12.<\/p>\n\nAgrandar
\/<\/span> Mecanismo de vinculaci\u00f3n de las comunicaciones de Signal de la v\u00edctima con el atacante.<\/div>\nESET<\/p>\n<\/figcaption><\/figure>\n
ESET Research ha informado a los desarrolladores de Signal sobre esta laguna. El servicio de mensajer\u00eda cifrada indic\u00f3 que los actores de amenazas pueden alterar el c\u00f3digo de cualquier aplicaci\u00f3n de mensajer\u00eda y promocionarla de manera enga\u00f1osa o enga\u00f1osa. En este caso, si los clientes oficiales de Signal mostraran una notificaci\u00f3n cada vez que se vincula un nuevo dispositivo a la cuenta, la versi\u00f3n falsa podr\u00eda simplemente desactivar esa ruta del c\u00f3digo para evitar la advertencia y ocultar cualquier dispositivo vinculado maliciosamente. La \u00fanica forma de evitar ser v\u00edctima de una Signal falsa (o de cualquier otra aplicaci\u00f3n de mensajer\u00eda maliciosa) es descargar \u00fanicamente versiones oficiales de dichas aplicaciones, \u00fanicamente desde canales oficiales.<\/p>\n
Durante nuestra investigaci\u00f3n, el servidor no ha devuelto al dispositivo un URI para vincular, lo que indica que lo m\u00e1s probable es que esto est\u00e9 habilitado solo para usuarios espec\u00edficos, seg\u00fan los datos enviados previamente por el malware al servidor C&C.<\/p>\n<\/blockquote>\n
En un comunicado, la presidenta de la Signal Foundation, Meredith Whittaker, escribi\u00f3:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\nNos alegra que Play Store haya eliminado este pernicioso malware que se hace pasar por Signal de su plataforma y esperamos que hagan m\u00e1s en el futuro para prevenir estafas predatorias a trav\u00e9s de su plataforma.<\/p>\n
Estamos profundamente preocupados por cualquiera que haya confiado y descargado esta aplicaci\u00f3n. Instamos a Samsung y a otros a actuar r\u00e1pidamente para eliminar este malware.<\/p>\n<\/blockquote>\n
El descubrimiento de esta capacidad ha pasado pr\u00e1cticamente desapercibido hasta ahora. Subraya la importancia de descargar solo la versi\u00f3n leg\u00edtima de Signal y verificar peri\u00f3dicamente Configuraci\u00f3n> Dispositivos vinculados para asegurarse de que no aparezcan dispositivos no reconocidos.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Mateusz Slodkowski\/SOPA Images\/LightRocket v\u00eda Getty Images Los investigadores dijeron el mi\u00e9rcoles que encontraron aplicaciones falsas en Google Play que se hac\u00edan pasar por leg\u00edtimas para las plataformas de mensajer\u00eda Signal…<\/p>\n","protected":false},"author":1,"featured_media":793864,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[102788,4938,5433,3676,3672,4276,24111,7913],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/793863"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=793863"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/793863\/revisions"}],"predecessor-version":[{"id":793865,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/793863\/revisions\/793865"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/793864"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=793863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=793863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=793863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}