Attenzione alle finte app Telegram e Signal su Android: rubano informazioni e dati sensibili

Gli hacker cinesi di APT GREF hanno distribuito su Google Play Store e Samsung Galaxy Store versioni cosiddette "trojanizzate" delle popolari app di messaggistica Signal e Telegram contenenti lo il malware BadBazaar.

Si tratta di un malware che in passato è stato impiegato per la sorveglianza delle minoranze etniche in Cina, ma questa volta prende di mira utenti in Ucraina Hong Kong e Stati Uniti, oltre ad alcuni Paesi Europei come Germania, Paesi Bassi, Polonia, Portogallo e Spagna. Le funzionalità di BadBazaar sono a tutti gli effetti quelle di uno spyware: tracciamento della posizione, furto di SMS e registri chiamate, intercettazione di telefonate, accesso a fotocamera, rubrica e file.

Le app fasulle, individuate dal ricercatore ESET Lukas Stefanko, si chiamano Signal Plus Messenger e FlyGram. Per dare credibilità alla campagna, gli hacker hanno creato i siti signalplus[.]org e flygram[.]org con link per scaricarle anche senza passare dagli store ufficiali: si tratta, come spesso abbiamo avuto modo di sottolineare, di un espediente per confondere gli utenti e convincerli della genuinità delle app.

FlyGram prende di mira dati sensibili e può inoltre effettuare un backup delle conversazioni Telegram da inviare poi al server controllato gagli attaccanti. Secondo le informazioni condivise da ESET vi sarebbero almeno 14 mila utenti che si ritrovano questa funzione abilitata sul proprio telefono.

La falsa app Signal, invece, si concentra su informazioni specifiche dell'app, come i messaggi e il PIN di accesso all'account. Ma la sua caratteristica più insidiosa è la possibilità di collegare in maniera occulta il dispositivo dell'attaccante a quello della vittima, così da intercettare le conversazioni future. Questo avviene abusando di una funzione legittima presente in Signal e basata su codici QR che consentono di collegare più dispositivi ad un singolo account, in maniera che i messaggi possano essere visualizzati si ciascuno di essi. L'app fasulla aggira il collegamento tramite QR code, riuscendo così a collegare l'account all'insaputa del legittimo proprietario. Questo metodo di spionaggio su Signal era già stato utilizzato in passato per ottenere i contenuti protetti dei messaggi. Per scoprire dispositivi sospetti collegati al proprio account, è però sufficiente controllare la sezione apposita nelle impostazioni dell'app.

FlyGram è stata caricata sul Google Play Store nel luglio 2020 ed è stata rimossa il 6 gennaio 2021, dopo aver totalizzato 5.000 installazioni attraverso quel canale. Signal Plus Messenger è invece stata caricata sul Google Play Store e sul Samsung Galaxy Store nel luglio 2022, e Google l'ha rimossa il 23 maggio 2023. Entrambe le app fasulle erano però ancora presenti sul Galaxy Store al momento della pubblicazione del resoconto di Stefanko.

Come sempre in questi casi il consiglio è quello di scaricare solamente le versioni originali delle app che si desiderano, evitando qualsiasi tipo di variante presente anche negli store ufficiali.