Nella giornata di ieri, alcuni ricercatori hanno segnalato la presenza di due false app presenti su Google Play. Queste si spacciavano per Signal e Telegram e, a quanto pare, risultavano in grado di accedere a messaggi e altre informazioni sensibili dai dispositivi delle vittime.
Uno dei due software, presente sullo store ufficiale di Google e su quello di Samsung con il nome di Signal Plus Messenger, è stata disponibile al download per circa nove mesi. In questo frangente, l’app ha fatto registrare un centinaio di download prima della rimozione, avvenuta grazie alla segnalazione di ESET.
Un’app chiamata FlyGram, nel frattempo, è stata creata dallo stesso autore della minaccia per emulare Telegram. Google ha rimosso la stessa dallo store ma, a quanto pare, questa persiste sullo store di Samsung.
Signal e Telegram: il codice open source sfruttato per minare la privacy degli utenti
Entrambe le app sono state costruite su codice open source reso disponibile dalle piattaforme. In quel codice è stato integrato uno strumento di spionaggio identificato come BadBazaar. Il trojan è stato collegato a un gruppo di hacker allineato alla Cina identificato come GREF.
BadBazaar è stato utilizzato in precedenza per prendere di mira gli uiguri e altre minoranze etniche turche. Il malware FlyGram è stato condiviso anche in un gruppo Telegram uiguro, a dimostrazione come l’agente malevolo abbia preso di mira un target specifico.
Signal Plus non va a sostituire l’app originale ma, promettendo migliorie, va in realtà a spiare i contenuti delle chat e non solo. Si parla di una serie di informazioni private all’aggressore, tra cui figurano:
- Numero IMEI del dispositivo;
- Numero di telefono;
- Indirizzo MAC;
- Dettagli sull’operatore;
- Dati sulla posizione;
oltre a tante altre informazioni sensibili.
ESET Research ha informato gli sviluppatori di Signal di quanto accaduto. Il servizio di messaggistica crittografato ha indicato che gli autori delle minacce possono alterare il codice di qualsiasi app di messaggistica e promuoverla in modo ingannevole o fuorviante.
In questo caso, se i client Signal ufficiali dovessero visualizzare una notifica ogni volta che un nuovo dispositivo viene collegato all’account, la versione falsa potrebbe semplicemente disabilitare quel percorso di codice per aggirare l’avviso.
L’unico modo per evitare di essere vittima di attacchi simili è di scaricare solo le versioni ufficiali di tali app, attraverso i canali ufficiali.