小心！中共黑客利用冒牌Signal搞间谍活动

【人民报消息】网络安全公司ESET研究人员周三（8月30日）表示，即时通讯应用程序（App）Signal和Telegram的仿冒版本已进入Google Play和三星Galaxy Store，中共黑客组织利用其搞间谍活动。这些应用程序被称为Signal Plus Messenger和FlyGram，吹嘘拥有官方版本不具备的功能。虽然它们提供基本功能，但它们也可以窃取设备和用户信息，并且能够通过Signal Plus监视通信。这两个应用程序都是基于Signal和Telegram提供的开源代码构建的，但它们的代码中被插入了一个名为BadBazaar的间谍工具，该木马与一个中国黑客组织GREF有关。BadBazaar此前曾被用来监视维吾尔族和其它突厥少数民族。 ESET研究人员表示，他们的遥测显示，数千名用户已从Google Play商店、三星Galaxy商店，以及威胁行为者设置的网站下载了这两个应用程序。该安全供应商表示，迄今为止已在16个国家检测到受感染的设备，其中包括美国、澳大利亚、德国、巴西、丹麦、葡萄牙、西班牙和新加坡。 ESET研究员Lukas Stefanko表示：“根据对BadBazaar的分析，对用户进行间谍活动是其主要目标，就恶意Signal Plus Messenger而言，其重点是（监控）Signal的通信。” 除了窃取信息外，这些应用程序还可以列出受感染Android设备上的所有Google账户、窃取设备信息并获取已安装应用程序的完整列表。相关应用程序还可以收集有针对性的敏感信息，例如联系人列表和通话记录。例如，FlyGram能够从Telegram应用程序中提取一些基本元数据，并访问用户的完整Telegram备份，包括联系人、个人资料图片、群组、频道和其它信息。至于Signal Plus Messenger，该应用程序可以绕过传统的二维码链接过程来侵入受害者的Signal消息，以便在不被发现的情况下将受感染的设备连接到攻击者的设备。 “这种间谍方法因其独特性而脱颖而出，因为它不同于任何其它已知恶意软件的功能。”ESET表示。 Stefanko指出：“对于特定个人和企业来说，其影响可能非常大，因为FlyGram不仅能够监视用户，还能够下载额外的自定义负载并让用户安装它们；另一方面，恶意Signal Plus Messenger可以对Signal通信进行主动间谍活动。” “这些活动似乎很活跃，因为恶意Signal Plus Messenger仍然可以在三星Galaxy Store上找到，并且最近于2023年8月11日进行了更新。”他补充说。谷歌迅速采取了行动，但三星却远远落后。4月份ESET发出通知后，谷歌从其Play商店中删除了最新版本的Signal Plus Messenger，此前，谷歌已将FlyGram从Play商店中删除。但这两个应用程序仍然是一个活跃的威胁，ESET在本周的一份报告中强调，即使在发出通知后，三星Galaxy Store上仍然可能找到它们。 Signal总裁梅雷迪思·惠特克（Meredith Whittaker）告诉《福布斯》，“我们很高兴Play商店将这种假冒Signal的有害恶意软件从他们的平台上删除，我们希望他们将来采取更多措施来防止通过他们的平台进行掠夺性诈骗。” 惠特克敦促三星和其它公司迅速采取行动删除这种恶意软件。 △

反馈信箱：[email protected]
Copyright© RMB Public Foundation Inc. All Rights Reserved