專家:中共黑客利用冒牌Signal搞間諜活動

Facebook

【新唐人北京時間2023年09月01日訊】網絡安全公司ESET研究人員週三(8月30日)表示,即時通訊應用程序(App)SignalTelegram的仿冒版本已進入Google Play和三星Galaxy Store,中共黑客組織利用其搞間諜活動。

這些應用程序被稱為Signal Plus Messenger和FlyGram,吹噓擁有官方版本不具備的功能。雖然它們提供基本功能,但它們也可以竊取設備和用戶信息,並且能夠通過Signal Plus監視通信。

這兩個應用程序都是基於Signal和Telegram提供的開源代碼構建的,但它們的代碼中被插入了一個名為BadBazaar的間諜工具,該木馬與一個中國黑客組織GREF有關。BadBazaar此前曾被用來監視維吾爾族和其它突厥少數民族。

ESET研究人員表示,他們的遙測顯示,數千名用戶已從Google Play商店、三星Galaxy商店,以及威脅行為者設置的網站下載了這兩個應用程序。

該安全供應商表示,迄今為止已在16個國家檢測到受感染的設備,其中包括美國、澳大利亞、德國、巴西、丹麥、葡萄牙、西班牙和新加坡。

ESET研究員Lukas Stefanko表示:「根據對BadBazaar的分析,對用戶進行間諜活動是其主要目標,就惡意Signal Plus Messenger而言,其重點是(監控)Signal的通信。」

除了竊取信息外,這些應用程序還可以列出受感染Android設備上的所有Google帳戶、竊取設備信息並獲取已安裝應用程序的完整列表。相關應用程序還可以收集有針對性的敏感信息,例如聯繫人列表和通話記錄。

例如,FlyGram能夠從Telegram應用程序中提取一些基本元數據,並訪問用戶的完整Telegram備份,包括聯繫人、個人資料圖片、群組、頻道和其它信息。

至於Signal Plus Messenger,該應用程序可以繞過傳統的二維碼鏈接過程來侵入受害者的Signal消息,以便在不被發現的情況下將受感染的設備連接到攻擊者的設備。

「這種間諜方法因其獨特性而脫穎而出,因為它不同於任何其它已知惡意軟件的功能。」ESET表示。

Stefanko指出:「對於特定個人和企業來說,其影響可能非常大,因為FlyGram不僅能夠監視用戶,還能夠下載額外的自定義負載並讓用戶安裝它們;另一方面,惡意Signal Plus Messenger可以對Signal通信進行主動間諜活動。」

「這些活動似乎很活躍,因為惡意Signal Plus Messenger仍然可以在三星Galaxy Store上找到,並且最近於2023年8月11日進行了更新。」他補充說。

谷歌迅速採取了行動,但三星卻遠遠落後。4月份ESET發出通知後,谷歌從其Play商店中刪除了最新版本的Signal Plus Messenger,此前,谷歌已將FlyGram從Play商店中刪除。

但這兩個應用程序仍然是一個活躍的威脅,ESET在本週的一份報告中強調,即使在發出通知後,三星Galaxy Store上仍然可能找到它們。

Signal總裁梅雷迪思·惠特克(Meredith Whittaker)告訴《福布斯》,「我們很高興Play商店將這種假冒Signal的有害惡意軟件從他們的平台上刪除,我們希望他們將來採取更多措施來防止通過他們的平台進行掠奪性詐騙。」

惠特克敦促三星和其它公司迅速採取行動刪除這種惡意軟件。

(記者李昭希綜合報導/責任編輯:林清)

相關文章