Le logiciel espion Android BadBazaar cible-t-il les utilisateurs de Signal et Telegram ?

La société slovaque ESET a attribué cette campagne à un acteur lié à la Chine appelé GREF.

« Très probablement actives depuis juillet 2020 et depuis juillet 2022, respectivement, les campagnes ont distribué le code d’espionnage Android BadBazaar via le Google Play store, le Samsung Galaxy Store et des sites web dédiés représentant les applications malveillantes Signal Plus Messenger et FlyGram », a déclaré le chercheur en sécurité Lukáš Štefanko dans un nouveau rapport partagé avec The Hacker News.

Les victimes ont été détectées principalement en Allemagne, en Pologne et aux États-Unis, puis en Ukraine, en Australie, au Brésil, au Danemark, au Congo-Kinshasa, à Hong Kong, en Hongrie, en Lituanie, aux Pays-Bas, au Portugal, à Singapour, en Espagne et au Yémen.

BadBazaar a été identifié pour la première fois par Lookout en novembre 2022 comme ciblant la communauté ouïghoure en Chine avec des applications Android et iOS apparemment bénignes qui, une fois installées, récoltent un large éventail de données, y compris les journaux d’appels, les messages SMS, les emplacements et d’autres.

La campagne précédente, active depuis au moins 2018, se distingue également par le fait que les applications Android malveillantes n’ont jamais été publiées sur le Play Store. La dernière série d’applications a depuis été retirée de la vitrine d’applications de Google, mais elle continue d’être disponible sur le Samsung Galaxy Store.

Les détails des applications sont les suivants – Au-delà de ces mécanismes de distribution, les victimes potentielles ont probablement été incitées à installer les applications à partir d’un groupe Telegram ouïgour axé sur le partage d’applications Android. Le groupe compte plus de 1 300 membres. Signal Plus Messenger et FlyGram sont tous deux conçus pour collecter et exfiltrer les données sensibles des utilisateurs, chaque application étant également destinée à recueillir des informations à partir des applications respectives qu’elle imite : Signal et Telegram Cela inclut la possibilité d’accéder aux sauvegardes de chat de Signal PIN Telegram si la victime active la fonction Cloud Sync à partir de l’application trojanisée. Signal Plus Messenger représente le premier cas documenté de surveillance des communications Signal de la victime en reliant secrètement l’appareil compromis au compte Signal de l’attaquant sans nécessiter d’interaction de la part de l’utilisateur. « Le logiciel malveillant BadBazaar responsable de l’espionnage contourne le processus habituel de clic de l’utilisateur sur le code QR en recevant l’URI nécessaire de son serveur [de commande et de contrôle], ce qui déclenche directement l’action nécessaire.Cela permet au logiciel malveillant de relier secrètement le smartphone de la victime à l’appareil de l’attaquant, ce qui lui permet d’espionner les communications Signal à l’insu de la victime. FlyGram, pour sa part, met également en œuvre une fonction appelée épinglage SSL pour échapper à l’analyse en intégrant un certificat dans le fichier APK, de sorte que seules les communications cryptées avec un certificat prédéfini sont autorisées, ce qui complique la tâche de l’attaquant et l’empêche d’accéder à son compte Signal. L’examen de la fonction Cloud Sync de l’application a également révélé que chaque utilisateur qui s’inscrit au service se voit attribuer un identifiant distinct qui est incrémenté de manière séquentielle On estime que 13 953 utilisateurs (y compris ESET) ont installé la fonction Cloud Sync de FlyGram ESET a déclaré qu’elle continuait à suivre le GREF en tant que groupe distinct en dépit des rapports open source antérieurs reliant le groupe APT15, citant l’existence d’un groupe de pirates de l’air et d’un groupe de pirates de l’air, et qu’elle n’avait pas l’intention de l’utiliser.L’objectif principal de BadBazaar est d’exfiltrer des informations sur les appareils, la liste des contacts, les journaux d’appels, la liste des applications installées, et d’espionner les messages Signal en reliant secrètement l’appareil de l’attaquant à Signal Plus Messenger de la victime « , a déclaré M. Štefanko.