En ocasiones anteriores, te hemos advertido del peligro de usar MODs de WhatsApp porque son versiones modificadas de la app oficial que no han sido aprobadas por su desarrollador y pueden contener software malicioso. Sin embargo, no recalcamos que WhatsApp no es la única aplicación de mensajería de la que se han creados MODs maliciosos.
La compañía de ciberseguridad ESET ha detectado aplicaciones troyanizadas de Signal y Telegram que contienen el spyware BadBazaar y que fueron subidas a Google Play y Samsung Galaxy Store por un grupo de hacking chino conocido como GREF. Enseguida te contamos todos los detalles para que desinstales estas apps si las tienes en tu Android.
Signal Plus y FlyGram han sido reportados como malware de espionaje
Las aplicaciones modificadas de Telegram y Signal en las que se ha encontrado software espía son FlyGram y Signal Plus Messenger. Los esfuerzos de estas apps están dirigidos a usuarios de Ucrania, Polonia, Países Bajos, España, Portugal, Alemania, Hong Kong y Estados Unidos.
¿Qué acción maliciosa realizan estos MODs de Telegram y Signal? Pues su malware llamado BadBazaar ofrece las siguientes funciones: seguimiento de la ubicación exacta del dispositivo, el robo de registros de llamadas y SMS, la grabación de llamadas telefónicas, la toma de fotografías utilizando la cámara, la filtración de listas de contactos y el robo de archivos o bases de datos.
En resumen, lo que hacen estas aplicaciones es espiarte. Ahora bien, cómo lo hacen es lo interesante.
Cómo funciona BadBazaar, el malware de Signal Plus y FlyGram
El grupo GREF utilizó dos versiones parcheadas de conocidas aplicaciones de mensajería instantánea de código abierto para crear Signal Plus Messenger y FlyGram. Además, crearon sitios web dedicados en «signalplus[.]org» y «flygram[.]org» para que la campaña pareciera legítima.
Según ESET, FlyGram se dirige a datos confidenciales como listas de contactos, registros de llamadas, cuentas de Google y datos WiFi. También ofrece una peligrosa función de copia de seguridad que envía los datos de comunicación de Telegram a un servidor controlado por el atacante. Al menos 13953 usuarios de FlyGram activaron esta función de copia de seguridad, pero se desconoce el número total de usuarios de la aplicación espía.
El clon de Signal, por su parte, recopila información similar, pero se centra más en extraer información específica de Signal, como las comunicaciones de la víctima y el PIN que protege su cuenta de accesos no autorizados.
La falsa aplicación de Signal también incluye una función que permite al atacante vincular las cuentas de Signal de la víctima a dispositivos controlados por el atacante. Esto se hace saltándose el proceso de vinculación por código QR y vinculando automáticamente sus propios dispositivos a las cuentas Signal de las víctimas sin que estas lo sepan. De esta forma, los atacantes controlan todos los mensajes futuros enviados desde la cuenta de Signal.
Fuente | WeLiveSecurity by ESET
