Bezbjednosni stručnjaci kompanije ESET otkrili su nedavno i prijavili dvije maliciozne mobilne aplikacije, izrađene za Android operativni sistem i objavljene u prodavnicama aplikacija Google Play i Samsung Galaxy Store.
Njihova imena bila su Signal Plus Messenger i FlyGram, a korisnicima su se predstavljale kao legitimne zamjene za daleko popularnije aplikacije za bezbjedno dopisivanje, Signal i Telegram. U okviru "zamjenskih" aplikacija, međutim, nalazio se trojanac vrste BadBazaar, ranije povezan s kineskom hakerskom grupom GREF.
Od jula 2020. pa do jula 2022. godine pomenuta grupacija je organizovala kampanje masovnog distribuiranja svojih malicioznih aplikacija, nastalih spajanjem open source koda Signala i Telegrama sa zlonamjernim programom.
Jednom kada su ih korisnici instalirali, dobijali su naizgled istu funkcionalnost kao kod legitimnih aplikacija, ali s jednom razlikom – hakeri su mogli da pristupaju svim razgovorima, koji bi inače u Signalu i Telegramu bili zaštićeni end-to-end enkripcijom.
Prema riječima stručnjaka, Signal Plus Messenger mogao je da iskoristi mogućnost povezivanja više uređaja na jedan Signal nalog – što je za sada jedinstven slučaj. Hakeri su iskoristili jedinu poznatu metodu, koja im omogućava da pristupaju zaštićenim podacima iz Signala.
Iskorištavanjem propusta na Signalovom serveru, uspeli su da napadačev uređaj povežu s korisničkim nalogom, u slučaju kada je korisnik na svom telefonu imao instaliranu njihovu aplikaciju. ESET je o svemu obavijestio i developere Signala, koji su istakli da je jedini način za očuvanje bezbjednosti instalacija njihove zvanične aplikacije. Ova zamjenska, kažu, onemogućila je korisniku da vidi da je na njegov račun povezan na još jedan uređaj, koji potom može da ga špijunira.
ESET je objavio da su lažne aplikacije koristile hiljade ljudi, nesvjesni da su na taj način bili špijunirani, i to u nekoliko zemalja Evropske unije, u SAD i još desetak zemalja, od Afrike do Azije. Nakon što su njihovi stručnjaci prijavili zlonamjerno ponašanje ovih aplikacija, one su uklonjene iz Google i Samsung prodavnica.
