Користувачів Android попередили про фейкові додатки Telegram і Signal у Play Market

У Google Play Market і магазині програм Samsung виявили фейкові програми, що маскуються під популярні месенджери Signal і Telegram. Ці шкідливі додатки можуть перехоплювати повідомлення та іншу конфіденційну інформацію з облікових записів користувачів.

Дослідники виявили, що програма під назвою Signal Plus Messenger була доступна в Google Play Market протягом 9 місяців і була завантажена приблизно 100 разів до того, як Google видалив її у квітні минулого року. Це сталося після того, як про шкідливий додаток повідомила компанія ESET, що спеціалізується на розробці антивірусного програмного забезпечення та рішень в галузі інформаційної безпеки.

Схожа програма під назвою FlyGram була створена тією ж групою зловмисників і також була доступна у Google Play та магазині програм Samsung. Попри видалення з Google Play Market, обидві програми, як і раніше, доступні в магазині Samsung.

Шкідливі програми створені на основі відкритого вихідного коду Signal та Telegram. У цей код вбудували шпигунський інструмент, відомий як BadBazaar. Троян пов’язаний із хакерською групою GREF.

Signal Plus Messenger міг відстежувати надіслані та отримані повідомлення та контакти, якщо користувачі підключали пристрій до свого номера в Signal. Це призводило до того, що шкідлива програма надсилала велику кількість особистої інформації зловмисникам, включаючи IMEI пристрою, номер телефону, MAC-адресу, дані оператора, дані про місцезнаходження, інформацію про Wi-Fi, електронні адреси Google-акаунтів, список контактів та PIN-код для передачі текстів.

Дослідник з ESET Лукаш Стефанко написав: «Signal Plus Messenger може шпигувати за повідомленнями Signal, зловживаючи функцією зв’язування пристроїв. Цей метод шпигунства унікальний, оскільки ми раніше не стикалися з подібним зловживанням іншими шкідливими програмами».

Нагадаємо — наприкінці липня дослідники з кібербезпеки виявили рідкісне шкідливе програмне забезпечення, призначене для пристроїв під керуванням ОС Android. Вірус, відомий під назвою CherryBlos, був виявлений як мінімум у чотирьох додатках. Після встановлення вірус перекриває вікна програм, змушуючи користувача вводити конфіденційну інформацію. Він навіть перехоплює мнемонічні паролі, що виводяться на екран, отримуючи зображення та переводячи його в текст за допомогою OCR.