Close Menu
    Trending
    Suscríbete
    Economía

    ▷ #InfórmateVenezuela Las aplicaciones troyanizadas de Telegram y Signal distribuyen código espía entre usuarios de Android

    Redacción - Infórmate VenezuelaBy No hay comentarios

    Él esEquipo de investigación de ESETuna empresa de detección proactiva de amenazas, ha identificado dos campañas activas dirigidas a usuarios de Androidedonde los actores de amenazas detrás de la herramienta se atribuyen a la El grupo APT (Amenaza Persistente Avanzada) GREF, alineado con China. Probablemente activas desde julio de 2020 y julio de 2022, las campañas distribuyeron códigos espía por Android Bad Bazar a través de Google Play Store, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram. Los actores de amenazas han parcheado las aplicaciones Open Source Signal y Telegram para Android con un código malicioso identificado como BadBazaar.

    Según su telemetría, ESET ha identificado campañas activas en Android en las que un atacante ha subido y distribuido aplicaciones maliciosas con los nombres Signal Plus Messenger y FlyGram a través de Google Play Store y Samsung Galaxy Store. y sitios web dedicados, imitan la aplicación Signal (signalplus[.]org) y una aplicación alternativa de Telegram (flygram[.]org).

    – Infórmate Venezuela –

    Signal Plus Messenger disponible en Google PlaySignal Plus Messenger disponible en Google Play (izquierda) y Samsung Galaxy Store (derecha)
    La aplicación maliciosa FlyGram disponible para descargar en Galaxy Store (izquierda) y en un sitio web dedicado (derecha).

    El propósito de estos Las aplicaciones troyanizadas difunden los datos de los usuarios. En particular, FlyGram puede extraer información básica del dispositivo, pero también datos sensibles, como listas de contactos, registros de llamadas y la lista de cuentas de Google. Además, la aplicación es capaz de filtrar cierta información y configuraciones relacionadas con Telegram; Sin embargo, estos datos no incluyen la lista de contactos de Telegram, mensajes ni cualquier otra información sensible.

    Sin embargo, si los usuarios activan una característica específica de FlyGram lo que les permite hacer copias de seguridad y restaurar datos de Telegram en un servidor remoto controlado por los atacantes, el actor de amenazas tendrá acceso completo a estos. copia de seguridad de telegramasno sólo a los metadatos recopilados.

    Estas copias de seguridad no contienen mensajes reales. Durante el análisis de esta característica, desde ESET Descubrieron que el servidor asigna una identificación única a cada cuenta de usuario recién creada. Esta identificación sigue un patrón secuencial, lo que indica que un mínimo de 13,953 cuentas FlyGram habían activado esta función.

    – Infórmate Venezuela –

    Señal Plus Mensajero recopilar datos del dispositivo e información confidencial similar; Sin embargo, su objetivo principal es espiar las comunicaciones de Signal de la víctima: puede eliminar el número PIN de Signal que protege la cuenta de Signal y utilizar la función de enlace de dispositivo que permite a los usuarios vincular Signal Desktop y Signal iPad a sus teléfonos. Este método de espionaje destaca por su singularidad, ya que se diferencia en su funcionalidad de cualquier otro malware conocido.

    Telemetría de descubrimiento de ESET

    La telemetría de ESET informó detecciones en dispositivos Android en Australia, Brasil, Dinamarca, República Democrática del Congo, Alemania, Hong Kong, Hungría, Lituania, Países Bajos, Polonia, Portugal, Singapur, España, Ucrania, Estados Unidos y Yemen. Además de la distribución desde la tienda oficial. Google Play y Samsung Galaxy StoreUn grupo uigur de Telegram centrado en compartir la aplicación de Android, que cuenta con más de 1.300 miembros, también ha atraído a víctimas potenciales para que instalen la aplicación FlyGram.

    Vídeo: Investigación de ESET: usuarios de Android atacados por aplicaciones troyanizadas Signal y Telegram. Muestra cómo el actor de amenazas vincula el dispositivo comprometido a la cuenta de Signal del atacante sin ninguna interacción del usuario; También explica cómo los usuarios pueden verificar si su cuenta de Signal se ha conectado a otro dispositivo.

    Como socio de Alianza de defensa de aplicaciones de Google, ESET identificó la última versión de Signal Plus Messenger como maliciosa y rápidamente compartió sus hallazgos con Google. Tras su alerta, la aplicación fue eliminada de la tienda. El 27 de abril de 2023, ESET informó Signal Plus Messenger tanto en Google Play como en Samsung Galaxy Store. Google tomó medidas y eliminó la aplicación el 23 de mayo de 2023. FlyGram se eliminó de Google Play poco después, el 6 de enero de 2021. A partir de ahora, ambas aplicaciones todavía están disponibles en Samsung Galaxy Store.

    Puntos clave del informe:

    • ESET Research descubrió aplicaciones troyanizadas de Signal y Telegram para Android, llamadas Signal Plus Messenger y FlyGram, en Google Play y Samsung Galaxy Store; Posteriormente, ambas aplicaciones se eliminaron de Google Play.
    • El código malicioso encontrado en estas aplicaciones se atribuye a la familia de malware BadBazaar, que ha sido utilizado en el pasado por un grupo APT alineado con China llamado GREF.
    • El malware BadBazaar se ha utilizado anteriormente contra uigures y otras minorías étnicas turcas. El malware FlyGram también se vio compartido en un grupo uigur de Telegram, en consonancia con ataques anteriores de la familia de malware BadBazaar.
    • FlyGram puede acceder a las copias de seguridad de Telegram si el usuario activa una función específica agregada por los atacantes; la función ha sido activada por al menos 13,953 cuentas de usuario.
    • Signal Plus Messenger representa el primer caso documentado de escuchas ilegales en las comunicaciones de Signal de una víctima, vinculando de forma secreta y automática el dispositivo comprometido con el dispositivo Signal del atacante.

    Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/troyanizadas-telegram-signal-espia-badbazaar-usuarios-android/

    Haga clic aquí para apoyar la libertad de expresión En Venezuela. Tu donación ayudará fortalecer nuestra plataforma digital de la redacción del Decano de la Prensa Nacional, etc. nos permite avanzar comprometidos con la información real, como nuestra bandera desde 1904.

    Infórmate Venezuela

    Apóyanos aquí

    – Infórmate Venezuela –

    Share.
    Foto del avatar

    En Infórmate Venezuela, estamos comprometidos con mantenerte informado sobre los acontecimientos más relevantes a nivel nacional e internacional. Nuestro equipo de periodistas apasionados busca la verdad y la objetividad en cada historia, abarcando desde política hasta entretenimiento. Nuestra misión es ser tu fuente confiable para estar al tanto de lo que realmente importa.

    Related Posts

    Add A Comment
    Leave A Reply