Группа исследователей обнаружила два приложения для Android, которые распространяются китайскими хакерами и крадут личные данные пользователей. Вредоносный код, обнаруженный в этих приложениях, относится к семейству вредоносных программ BadBazaar.
Исследователи из компании ESET, занимающейся кибербезопасностью, обнаружили активность Китайской группы хакеров, известной как GREF, которая распространяет шпионский код через два приложения: Signal Plus Messenger и FlyGram. Приложения имитируют приложение Signal и альтернативное приложение Telegram.
По словам ESET, эти приложения были замечены в магазинах Google Play, Samsung Galaxy Store и на специализированных веб-сайтах.
Исследователи безопасности утверждают, что целью этих «троянских» приложений является кража пользовательских данных. FlyGram может извлекать основную информацию об устройстве, а также конфиденциальные данные, такие как списки контактов, журналы вызовов и список учетных записей Google. Приложение способно собирать некоторую информацию и настройки, связанные с Telegram, однако эти данные не включают список контактов Telegram, сообщения или любую другую конфиденциальную информацию.
Тем временем Signal Plus Messenger собирает аналогичные данные об устройствах и конфиденциальную информацию. Его основная цель — шпионить за сообщениями жертвы в Signal: "это вредоносное приложение может извлечь PIN-код Signal, который защищает учетную запись, и взломать функцию привязки устройства, которая позволяет пользователям связывать Signal Desktop и Signal iPad со своими телефонами".
"Наша телеметрия сообщила об обнаружениях на устройствах Android из Австралии, Бразилии, Дании, Демократической Республики Конго, Германии, Гонконга, Венгрии, Литвы, Нидерландов, Польши, Португалии, Сингапура, Испании, Украины, США и Йемена". — заявили в ESET.
Google удалил оба приложения из Play Store, однако до прошлой недели они все еще были доступны в Samsung Galaxy Store. Пользователям рекомендуется удалить эти приложения со своих смартфонов.