網絡安全公司ESET研究人員周三(8月30日)表示,即時通訊應用程式(App)Signal和Telegram的仿冒版本已進入Google Play和三星Galaxy Store,中共黑客組織利用其搞間諜活動。

這些應用程式被稱為Signal Plus Messenger和FlyGram,吹噓擁有官方版本不具備的功能。雖然它們提供基本功能,但它們也可以竊取設備和用戶信息,並且能夠通過Signal Plus監視通信。

這兩個應用程式都是基於Signal和Telegram提供的開原始碼構建的,但它們的代碼中被插入了一個名為BadBazaar的間諜工具,該木馬與一個中國黑客組織GREF有關。BadBazaar此前曾被用來監視維吾爾族和其它突厥少數民族。

ESET研究人員表示,他們的遙測顯示,數千名用戶已從Google Play商店、三星Galaxy商店,以及威脅行為者設置的網站下載了這兩個應用程式。

該安全供應商表示,迄今為止已在16個國家檢測到受感染的設備,其中包括美國、澳洲、德國、巴西、丹麥、葡萄牙、西班牙和新加坡。

ESET研究員Lukas Stefanko表示:「根據對BadBazaar的分析,對用戶進行間諜活動是其主要目標,就惡意Signal Plus Messenger而言,其重點是(監控)Signal的通信。」

除了竊取信息外,這些應用程式還可以列出受感染Android設備上的所有Google帳戶、竊取設備信息並獲取已安裝應用程式的完整列表。相關應用程式還可以收集有針對性的敏感信息,例如聯繫人列表和通話紀錄。

例如,FlyGram能夠從Telegram應用程式中提取一些基本元數據,並訪問用戶的完整Telegram備份,包括聯繫人、個人資料圖片、群組、頻道和其它信息。

至於Signal Plus Messenger,該應用程式可以繞過傳統的二維碼超連結過程來侵入受害者的Signal消息,以便在不被發現的情況下將受感染的設備連接到攻擊者的設備。

「這種間諜方法因其獨特性而脫穎而出,因為它不同於任何其它已知惡意軟件的功能。」ESET表示。

Stefanko指出:「對於特定個人和企業來說,其影響可能非常大,因為FlyGram不僅能夠監視用戶,還能夠下載額外的自定義負載並讓用戶安裝它們;另一方面,惡意Signal Plus Messenger可以對Signal通信進行主動間諜活動。」

「這些活動似乎很活躍,因為惡意Signal Plus Messenger仍然可以在三星Galaxy Store上找到,並且最近於2023年8月11日進行了更新。」他補充說。

Google迅速採取了行動,但三星卻遠遠落後。4月份ESET發出通知後,Google從其Play商店中刪除了最新版本的Signal Plus Messenger,此前,Google已將FlyGram從Play商店中刪除。

但這兩個應用程式仍然是一個活躍的威脅,ESET在本周的一份報告中強調,即使在發出通知後,三星Galaxy Store上仍然可能找到它們。

Signal總裁梅雷迪思·惠特克(Meredith Whittaker)告訴《福布斯》,「我們很高興Play商店將這種假冒Signal的有害惡意軟件從他們的平台上刪除,我們希望他們將來採取更多措施來防止通過他們的平台進行掠奪性詐騙。」

惠特克敦促三星和其它公司迅速採取行動刪除這種惡意軟件。#

(轉自新唐人電視台)

------------------

📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column

------------------

💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand