网络安全研究人员警告称,谨防通过 Google Play 商店和三星 Galaxy 商店传播的假冒 Signal 和 Telegram 应用程序。
这些名为Signal Plus Messenger和FlyGram的应用程序旨在窃取用户数据,包括联系人列表、通话记录和设备信息。
Signal Plus Messenger是流行Signal应用程序的伪造版本,在Google Play商店中成功隐藏了9个月。在谷歌最终将其从应用商店中删除之前,它已经获得了100多次下载。
由同一威胁参与者开发的FlyGram也遵循类似的轨迹,但于2021年被删除。斯洛伐克网络安全公司ESET已将这些应用程序识别为Signal和Telegram的恶意版本,旨在向毫无戒心的用户传播恶意软件。
这些假冒应用程序不仅仅是模仿;它们是假冒应用程序的一部分。它们是网络间谍活动的复杂工具。ESET研究人员在博客文章中提到,假冒Telegram应用程序可以收集基本设备信息、敏感数据、Google帐户和通话记录。此外,它还有一项功能,可以将数据备份到攻击者控制的远程服务器。
另一方面,恶意Signal Plus应用程序可以监控传入和传出的消息,将其传输到远程服务器以进行未经授权的访问。为了显得合法,我们为这两个应用程序创建了专门的网站,并提供了从Google Play商店直接安装的链接。
这些应用程序是由一个名为GREF的APT黑客组织创建的。GREF,也称为APT15、Ke3chang、Mirage、Vixen Panda和Playful Dragon。
早在2018年3月,这些威胁行为者还被发现以英国政府承包商为目标,窃取军事技术机密。GREF知道BadBazaar恶意软件,在此次活动中,这些应用程序中发现的恶意代码也归因于BadBazaar恶意软件。
这并不奇怪,因为另一个APT组织Smishing Triad最近有报道称正在对美国用户进行大规模的诈骗活动。这次攻击涉及冒充领先的邮件和投递服务。
如果您无意中安装了Signal Plus Messenger或FlyGram,请将它们从手机中删除至关重要。但是,这样做时请务必小心。在卸载这些应用程序之前,请确保取消链接您的Signal和Telegram帐户,以防止进一步的数据泄露。谷歌已将这些应用程序标记为恶意应用程序,并且能够窃取个人信息。
评论已关闭。