Studiuesit e ESET kanë zbuluar dy fushata spiunazhi kibernetik të kryera nga grupi kinez GREF kundër përdoruesve të Android. Kriminelët kibernetikë përdorën versione të modifikuara të aplikacioneve Telegram dhe Signal për të shpërndarë programin spyware BadBazaar përmes Play Store dhe Galaxy Store. Aplikacionet janë hequr nga Google dhe Samsung.
BadBazaar në FlyGram dhe Signal Plus Messenger
Kriminelët kibernetikë përdorën kodin me burim të hapur të Telegram dhe Signal për të krijuar aplikacionet e infektuara FlyGram dhe Signal Plus Messenger të cilat mund të shkarkoheshin nga dyqanet e Google dhe Samsung, si dhe nga faqet e tyre zyrtare përkatëse. “Karakteristikat” kryesore janë vjedhja e të dhënave dhe spiunazhi. Viktimat ndodhen në Ukrainë, Poloni, Holandë, Spanjë, Portugali, Gjermani, Hong Kong dhe Shtetet e Bashkuara.
Kur identifikoheni në FlyGram, BadBazaar dërgon disa informacione në lidhje me pajisjen tuaj, duke përfshirë numrin IMEI dhe adresën MAC, te serveri në distancë. Bazuar në komandat e marra nga serveri, malware nxjerr të dhëna të ndryshme: kontaktet, regjistrat e thirrjeve, listën e aplikacioneve të instaluara, llogarinë e Google, vendndodhjen gjeografike dhe informacionin WiFi (adresa MAC, adresa IP, SSID, BSSID, gateway dhe DNS).
Signal Plus Messenger ju lejon gjithashtu të eksploroni informacione për pajisjen, por edhe PIN-in që mbron llogarinë. Një veçori ekskluzive, e ofruar nga aplikacioni legjitim Signal, ju lejon të lidhni pajisje të shumta me të njëjtën llogari, duke anashkaluar procedurën e lidhjes duke skanuar kodin QR. Kështu, kriminelët kibernetikë mund të lexojnë mesazhet e dërguara dhe të marra nga viktima. Për fat të mirë, BadBazaar nuk e fsheh pajisjen e lidhur, kështu që përdoruesi mund ta heqë atë në opsionet e aplikacionit legjitim.
Siç u përmend, të dy aplikacionet janë hequr nga dyqanet e Google dhe Samsung. Përdoruesit duhet të instalojnë vetëm aplikacionet origjinale, edhe pse ato të bazuara në të njëjtin kod premtojnë veçori ekskluzive.
Discussion about this post