Santo domingo, 5 de septiembre de 2023. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó dos campañas activas dirigidas a usuarios de Android, donde los actores de amenazas detrás de la herramienta se atribuyen al grupo APT (Advanced Persistent Threat) GREF, alineado con China.
Probablemente activas desde julio de 2020 y julio de 2022, las campañas distribuyeron el código de espionaje de Android BadBazaar a través de Google Play Store, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram.
Los actores de la amenaza parchearon las apps de código abierto Signal y Telegram para Android con el código malicioso identificado como BadBazaar.
El objetivo de estas aplicaciones troyanizadas es filtrar datos de los usuarios.
En concreto, FlyGram puede extraer información básica del dispositivo, pero también datos sensibles, como listas de contactos, registros de llamadas y la lista de cuentas de Google. Además, la aplicación es capaz de filtrar cierta información y configuraciones relacionadas con Telegram; sin embargo, estos datos no incluyen la lista de contactos de Telegram, mensajes o cualquier otra información sensible.
Signal Plus Messenger recopila datos de dispositivos e información sensible similares; su principal objetivo, sin embargo, es espiar las comunicaciones Signal de la víctima: puede extraer el número PIN de Signal que protege la cuenta Signal y hace un uso indebido de la función de enlace de dispositivos que permite a los usuarios vincular Signal Desktop y Signal iPad a sus teléfonos.
Este método de espionaje destaca por su singularidad, ya que difiere de la funcionalidad de cualquier otro malware conocido.
Además de la distribución desde la tienda oficial Google Play y Samsung Galaxy Store, las víctimas potenciales también fueron atraídas para instalar la aplicación FlyGram desde un grupo de Telegram uigur centrado en el intercambio de aplicaciones de Android, que cuenta con más de 1.300 miembros.
Como socio de Google App Defense Alliance, ESET identificó la versión más reciente de Signal Plus Messenger como maliciosa y compartió rápidamente sus hallazgos con Google. Tras su alerta, la aplicación fue eliminada de la tienda. El 27 de abril de 2023, ESET denunció Signal Plus Messenger tanto en Google Play como en Samsung Galaxy Store. Google tomó medidas y eliminó la aplicación el 23 de mayo de 2023. FlyGram fue retirada de Google Play en algún momento después del 6 de enero de 2021.
Al momento, ambas aplicaciones siguen disponibles en Samsung Galaxy Store.