Специалисты ESET Research обнаружили в Google Play и Samsung Galaxy Store троянские приложения Signal и Telegram для Android под названиями Signal Plus Messenger и FlyGram; впоследствии оба приложения были удалены из Google Play.
- Вредоносный код, обнаруженный в этих приложениях, относится к семейству BadBazaar, которое в прошлом использовалось китайской APT-группой GREF.
- Ранее вредоносное ПО BadBazaar использовалось для атак на уйгуров и другие тюркские этнические меньшинства. Вредоносная программа FlyGram также была замечена в одной из уйгурских групп Telegram, что согласуется с предыдущими атаками на семейство вредоносных программ BadBazaar.
- FlyGram может получить доступ к резервным копиям Telegram, если пользователь включит специальную функцию, добавленную злоумышленниками; эта функция была активирована по меньшей мере на 13 953 учетных записях пользователей.
- Мессенджер Signal Plus представляет собой первый задокументированный случай шпионажа за перепиской жертвы в Signal путем тайной автопривязки скомпрометированного устройства к устройству Signal злоумышленника.
Indicators of Compromise
IPv4
- 103.27.186.156
- 103.27.186.195
- 148.251.87.245
- 154.202.59.169
- 156.67.73.71
- 185.239.227.14
- 217.163.29.84
- 45.133.238.92
- 45.154.12.132
- 45.154.12.151
- 45.154.12.202
- 45.63.89.238
- 62.210.28.116
- 82.180.174.230
- 92.118.189.164
Domains
- 45.63.89.238.vultrusercontent.com
- 62-210-28-116.rev.poneytelecom.eu
- flygram.org
- mail.pmumail.com
- proxy1.signalplus.org
- proxy2.signalplus.org
- proxy3.signalplus.org
- proxy4.signalplus.org
- proxy5.signalplus.org
- proxy6.signalplus.org
- signalplus.org
- www.flygram.org
- www.signalplus.org
SHA1
- 19e5cf2e8eed73ee614b668bc1dbdda01e058c0c
- 606e33614cfa4969f0bf8b0828710c9a23bda22b
- b0402e3b6270dca3dd42ffeb033f02b9bcd9228e
- c6e26eafbf6703dc19446944af5ded65f86c9571
- dab2f85c5282889e678cd0901cd6de027fd0ec44