Компания ESET сообщила о вредоносных приложениях, имитирующих популярные мессенджеры Telegram и Signal для Android-устройств, которые были загружены в магазины приложений Google Play и Samsung Galaxy Store и получили достаточную популярность. Приложения, получившие названия FlyGram и Signal Plus Messenger, имеют сходный с оригиналами дизайн и в точности воспроизводят их функционал. Однако этим они не ограничиваются, поскольку в фоновом режиме развертывают еще и вредоносное ПО, известное как BadBazaar.

Это шпионская программа, способная передавать своим хозяевам данные о точном местоположении инфицированного устройства, списки контактов, историю звонков и сообщений, также похищать сохраненные файлы. А в случае с фальшивым приложением Signal злоумышленники сумели пойти еще дальше. Они скомпрометировали функцию, которая позволяет, основываясь на сканировании QR-кода, привязать к одному и тому же аккаунту все устройства пользователя. В результате, обойдя защиту QR-кода, организаторы атаки могли привязать к аккаунтам жертв свои устройства. Таким образом, даже после удаления приложения, хакеры могут сохранять полный доступ к учетной записи и всем сообщениям. Стоит также отметить, что киберпреступники не поскупились на расходы, чтобы придать своим приложениям видимость легитимности: они создали специальные сайты на доменах signalplus.org и flygram.org, откуда – как и из магазинов Google Play и Samsung Galaxy Store – можно было загрузить их программы.

Ранее вредоносное ПО BadBazaar использовалось китайской хакерской группировкой GREF для слежки за представителями этнических меньшинств в КНР. Судя по всему, именно группа GREF стоит и за распространением троянских мессенджеров. Но на сей раз география атаки куда обширнее: согласно данным ESET, ее целями стали пользователи в Украине, Польше, Нидерландах, Испании, Португалии, Германии, Гонконге и США. В настоящее время оба приложения удалены из Google Play, но все еще остаются доступными в Samsung Galaxy Store.