Grupo chinês usa ferramenta para espionar dispositivos Android

Da Redação
31/08/2023

Pesquisadores de segurança da ESET descobriram uma sofisticada ferramenta de espionagem chamada BadBazaar, que tem como alvo usuários do Android por meio de versões maliciosas dos populares aplicativos de comunicação Signal e Telegram. Acredita-se que a ferramenta seja obra do grupo APT alinhado à China, conhecido como GREF. Esse grupo esteve ligado a campanhas cibernéticas anteriores dirigidas aos uigures e a outras minorias étnicas turcas.

Suspeita-se que as duas novas campanhas estejam ativas desde julho de 2020 e julho de 2022, respectivamente. O BadBazaar foi distribuído por vários canais, incluindo as lojas oficiais Google Play, Samsung Galaxy Store e sites dedicados que se apresentam como fontes legítimas de aplicativos. Os aplicativos maliciosos em questão, Signal Plus Messenger e FlyGram, foram utilizados como veículos para essa operação de espionagem.

Em um artigo técnico divulgado nesta quarta-feira, 30, os pesquisadores da ESET revelaram os recursos do malware, incluindo os de coleta de dados do FlyGram, abrangendo detalhes básicos do dispositivo, listas de contatos, registros de chamadas e dados da Conta do Google, além de acesso limitado a dados específicos relacionados ao Telegram.

O Signal Plus Messenger vai além, permitindo que invasores vinculem clandestinamente dispositivos comprometidos às suas contas do Signal, concedendo-lhes acesso à comunicação do Signal e mostrando suas táticas avançadas.

Veja isso
Spyware para Android tem como alvo instituições financeiras
Aplicativos Android levaram usuários a sites de phishing

Notavelmente, os invasores utilizaram a fixação SSL (secure sockets layer) para proteger a comunicação entre os aplicativos maliciosos e seus servidores de comando e controle (C&C), tornando a interceptação e a análise um desafio para os pesquisadores.

De acordo com o comunicado da ESET, as campanhas visaram usuários de vários países.A ação imediata da ESET levou à remoção de aplicativos maliciosos do Google Play, mas a distribuição continua através da Samsung Galaxy Store, fontes alternativas de aplicativos e sites dedicados.

Compartilhar: