اكتشف باحثو الأمن السيبراني تطبيقات Android الضارة لـ Signal وTelegram الموزعة عبر متجر Google Play وSamsung Galaxy Store والتي تم تصميمها لتوصيل برنامج التجسس BadBazaar على الأجهزة المصابة.
ونسبت شركة ESET السلوفاكية الحملة إلى ممثل مرتبط بالصين يُدعى جريف.
“من المرجح أن تكون الحملات نشطة منذ يوليو 2020 ومنذ يوليو 2022، على التوالي، وقد وزعت الحملات رمز تجسس Android BadBazaar من خلال متجر Google Play، وSamsung Galaxy Store، ومواقع الويب المخصصة التي تمثل التطبيقات الضارة Signal Plus Messenger وFlyGram،” كما قال الباحث الأمني Lukáš. ستيفانكو قال في تقرير جديد تمت مشاركته مع The Hacker News.
تم الكشف عن الضحايا في المقام الأول في ألمانيا وبولندا والولايات المتحدة، تليها أوكرانيا وأستراليا والبرازيل والدنمارك والكونغو كينشاسا وهونغ كونغ والمجر وليتوانيا وهولندا والبرتغال وسنغافورة وإسبانيا واليمن.
تم توثيق BadBazaar لأول مرة بواسطة Lookout في نوفمبر 2022 على أنه يستهدف مجتمع الأويغور في الصين من خلال تطبيقات Android وiOS التي تبدو حميدة والتي، بمجرد تثبيتها، تجمع مجموعة واسعة من البيانات، بما في ذلك سجلات المكالمات والرسائل النصية القصيرة والمواقع وغيرها.
تتميز الحملة السابقة، النشطة منذ عام 2018 على الأقل، أيضًا بحقيقة أن تطبيقات Android المارقة لم يتم نشرها مطلقًا في متجر Play. تمت إزالة أحدث مجموعة من التطبيقات منذ ذلك الحين من واجهة متجر تطبيقات Google، لكنها لا تزال متاحة على متجر Samsung Galaxy Store.
تفاصيل التطبيقات هي كما يلي –
- Signal Plus Messenger (org.oughtcrime.securesmsplus) – أكثر من 100 عملية تنزيل منذ يوليو 2022، متاحة أيضًا عبر signalplus(.)org
- FlyGram (org.telegram.FlyGram) – أكثر من 5000 عملية تنزيل منذ يونيو 2020، وهي متاحة أيضًا عبر flygram(.)org
وبعيدًا عن آليات التوزيع هذه، يُقال إنه من المحتمل أيضًا أن يتم خداع الضحايا المحتملين لتثبيت التطبيقات من مجموعة Uyghur Telegram التي تركز على مشاركة تطبيقات Android. تضم المجموعة أكثر من 1300 عضو.
تم تصميم كل من Signal Plus Messenger وFlyGram لجمع بيانات المستخدم الحساسة وتصفيتها، مع تخصيص كل تطبيق أيضًا لجمع المعلومات من التطبيقات المعنية التي تحاكيها: Signal وTelegram.
يتضمن ذلك القدرة على الوصول إلى النسخ الاحتياطية لـ Signal PIN وTelegram إذا قام الضحية بتمكين ميزة Cloud Sync من التطبيق المصاب بفيروس طروادة.
في تطور جديد، يمثل Signal Plus Messenger أول حالة موثقة لمراقبة اتصالات Signal الخاصة بالضحية من خلال ربط الجهاز المخترق سرًا بحساب Signal الخاص بالمهاجم دون الحاجة إلى أي تدخل من المستخدم.
“تتجاوز BadBazaar، البرمجيات الخبيثة المسؤولة عن التجسس، عملية مسح رمز الاستجابة السريعة المعتادة وعملية نقر المستخدم من خلال تلقي عنوان URI الضروري من خادم (القيادة والتحكم)، وإطلاق الإجراء اللازم مباشرة عندما جهاز الارتباط “تم النقر على الزر”، أوضح ستيفانكو.
“وهذا يمكّن البرامج الضارة من ربط الهاتف الذكي الخاص بالضحية بجهاز المهاجم سرًا، مما يسمح لها بالتجسس على اتصالات Signal دون علم الضحية.”
تقوم FlyGram من جانبها أيضًا بتنفيذ ميزة تسمى تثبيت SSL لتجنب التحليل عن طريق تضمين الشهادة في ملف APK بحيث يُسمح فقط بالاتصال المشفر مع الشهادة المحددة مسبقًا، مما يجعل من الصعب اعتراض وتحليل حركة مرور الشبكة بين التطبيق وخادمه.
كشف فحص ميزة Cloud Sync للتطبيق أيضًا أن كل مستخدم يقوم بالتسجيل في الخدمة يتم تعيين معرف مميز له يتم زيادته بشكل تسلسلي. تشير التقديرات إلى أن 13,953 مستخدمًا (بما في ذلك ESET) قاموا بتثبيت FlyGram وقاموا بتنشيط ميزة Cloud Sync.
قالت شركة ESET إنها تواصل تتبع GREF كمجموعة منفصلة على الرغم من التقارير المفتوحة المصدر السابقة التي تربط المجموعة بـ APT15، مشيرة إلى عدم وجود أدلة قاطعة.
وقال ستيفانكو: “الغرض الرئيسي لـ BadBazaar هو سرقة معلومات الجهاز وقائمة جهات الاتصال وسجلات المكالمات وقائمة التطبيقات المثبتة، وإجراء التجسس على رسائل Signal عن طريق ربط تطبيق Signal Plus Messenger الخاص بالضحية بجهاز المهاجم سرًا”.
اكتشف باحثو الأمن السيبراني تطبيقات Android الضارة لـ Signal وTelegram الموزعة عبر متجر Google Play وSamsung Galaxy Store والتي تم تصميمها لتوصيل برنامج التجسس BadBazaar على الأجهزة المصابة.
ونسبت شركة ESET السلوفاكية الحملة إلى ممثل مرتبط بالصين يُدعى جريف.
“من المرجح أن تكون الحملات نشطة منذ يوليو 2020 ومنذ يوليو 2022، على التوالي، وقد وزعت الحملات رمز تجسس Android BadBazaar من خلال متجر Google Play، وSamsung Galaxy Store، ومواقع الويب المخصصة التي تمثل التطبيقات الضارة Signal Plus Messenger وFlyGram،” كما قال الباحث الأمني Lukáš. ستيفانكو قال في تقرير جديد تمت مشاركته مع The Hacker News.
تم الكشف عن الضحايا في المقام الأول في ألمانيا وبولندا والولايات المتحدة، تليها أوكرانيا وأستراليا والبرازيل والدنمارك والكونغو كينشاسا وهونغ كونغ والمجر وليتوانيا وهولندا والبرتغال وسنغافورة وإسبانيا واليمن.
تم توثيق BadBazaar لأول مرة بواسطة Lookout في نوفمبر 2022 على أنه يستهدف مجتمع الأويغور في الصين من خلال تطبيقات Android وiOS التي تبدو حميدة والتي، بمجرد تثبيتها، تجمع مجموعة واسعة من البيانات، بما في ذلك سجلات المكالمات والرسائل النصية القصيرة والمواقع وغيرها.
تتميز الحملة السابقة، النشطة منذ عام 2018 على الأقل، أيضًا بحقيقة أن تطبيقات Android المارقة لم يتم نشرها مطلقًا في متجر Play. تمت إزالة أحدث مجموعة من التطبيقات منذ ذلك الحين من واجهة متجر تطبيقات Google، لكنها لا تزال متاحة على متجر Samsung Galaxy Store.
تفاصيل التطبيقات هي كما يلي –
- Signal Plus Messenger (org.oughtcrime.securesmsplus) – أكثر من 100 عملية تنزيل منذ يوليو 2022، متاحة أيضًا عبر signalplus(.)org
- FlyGram (org.telegram.FlyGram) – أكثر من 5000 عملية تنزيل منذ يونيو 2020، وهي متاحة أيضًا عبر flygram(.)org
وبعيدًا عن آليات التوزيع هذه، يُقال إنه من المحتمل أيضًا أن يتم خداع الضحايا المحتملين لتثبيت التطبيقات من مجموعة Uyghur Telegram التي تركز على مشاركة تطبيقات Android. تضم المجموعة أكثر من 1300 عضو.
تم تصميم كل من Signal Plus Messenger وFlyGram لجمع بيانات المستخدم الحساسة وتصفيتها، مع تخصيص كل تطبيق أيضًا لجمع المعلومات من التطبيقات المعنية التي تحاكيها: Signal وTelegram.
يتضمن ذلك القدرة على الوصول إلى النسخ الاحتياطية لـ Signal PIN وTelegram إذا قام الضحية بتمكين ميزة Cloud Sync من التطبيق المصاب بفيروس طروادة.
في تطور جديد، يمثل Signal Plus Messenger أول حالة موثقة لمراقبة اتصالات Signal الخاصة بالضحية من خلال ربط الجهاز المخترق سرًا بحساب Signal الخاص بالمهاجم دون الحاجة إلى أي تدخل من المستخدم.
“تتجاوز BadBazaar، البرمجيات الخبيثة المسؤولة عن التجسس، عملية مسح رمز الاستجابة السريعة المعتادة وعملية نقر المستخدم من خلال تلقي عنوان URI الضروري من خادم (القيادة والتحكم)، وإطلاق الإجراء اللازم مباشرة عندما جهاز الارتباط “تم النقر على الزر”، أوضح ستيفانكو.
“وهذا يمكّن البرامج الضارة من ربط الهاتف الذكي الخاص بالضحية بجهاز المهاجم سرًا، مما يسمح لها بالتجسس على اتصالات Signal دون علم الضحية.”
تقوم FlyGram من جانبها أيضًا بتنفيذ ميزة تسمى تثبيت SSL لتجنب التحليل عن طريق تضمين الشهادة في ملف APK بحيث يُسمح فقط بالاتصال المشفر مع الشهادة المحددة مسبقًا، مما يجعل من الصعب اعتراض وتحليل حركة مرور الشبكة بين التطبيق وخادمه.
كشف فحص ميزة Cloud Sync للتطبيق أيضًا أن كل مستخدم يقوم بالتسجيل في الخدمة يتم تعيين معرف مميز له يتم زيادته بشكل تسلسلي. تشير التقديرات إلى أن 13,953 مستخدمًا (بما في ذلك ESET) قاموا بتثبيت FlyGram وقاموا بتنشيط ميزة Cloud Sync.
قالت شركة ESET إنها تواصل تتبع GREF كمجموعة منفصلة على الرغم من التقارير المفتوحة المصدر السابقة التي تربط المجموعة بـ APT15، مشيرة إلى عدم وجود أدلة قاطعة.
وقال ستيفانكو: “الغرض الرئيسي لـ BadBazaar هو سرقة معلومات الجهاز وقائمة جهات الاتصال وسجلات المكالمات وقائمة التطبيقات المثبتة، وإجراء التجسس على رسائل Signal عن طريق ربط تطبيق Signal Plus Messenger الخاص بالضحية بجهاز المهاجم سرًا”.
