Aj aplikácie na šifrovanú komunikáciu sú terčmi špionážnych skupín. Na paniku však nie je dôvod
V čase, keď si čítate tento stĺpček, je už po voľbách, takže agónia predvolebnej kampane sa už skončila. Ťažko sa mi odhaduje, či pokračuje aj povolebná agónia. Asi ako pre koho. V každom prípade v spoločnosti ESET chránime úplne všetkých používateľov našich technológií. A ideme po krku kybernetickým zločincom a špionážnym hackerským skupinám, nech sú odkiaľkoľvek alebo za nimi stojí ktokoľvek.
Výskumníci spoločnosti ESET napríklad nedávno identifikovali dve aktívne kampane zamerané na používateľov operačného systému Android, teda na smartfóny. Zodpovednosť za útoky cez nástroje imitujúce Telegram a Signal nesie špionážna APT skupina GREF napojená na Čínu. Jednotlivé kampane boli s najväčšou pravdepodobnosťou aktívne od júla 2020 a júla 2022. Distribuovali špionážny kód BadBazaar prostredníctvom obchodov Google Play, Samsung Galaxy Store a špecializovaných webových stránok, cez ktoré distribuovali škodlivé aplikácie vydávajúce sa za legitímne aplikácie na šifrovanú komunikáciu.
Škodlivé aplikácie sa nazývajú FlyGram a Signal Plus Messenger. Útočníci dosiahli funkčnosť falošných aplikácií Signal a Telegram pozmenením týchto open source aplikácií a ich rozšírením o škodlivý kód. Signal Plus Messenger predstavuje prvý zdokumentovaný prípad špehovania komunikácie cez falošný Signal pomocou pripojenia zariadenia obete na zariadenie útočníka, na ktorom je nainštalovaná aplikácia Signal. BadBazaar je schopný vytiahnuť informácie o zariadení, zoznamy kontaktov, protokoly hovorov a zoznam nainštalovaných aplikácií a špehovať správy Signal tajným prepojením aplikácie Signal Plus Messenger so zariadením útočníka.
Špehovacie aplikácie si pritom stiahli tisíce používateľov, tak sa pre istotu pozrite, či ju náhodou v telefóne nemáte aj vy, hoci u slovenských používateľov našej technológie pre Android sme ho nedetegovali. Naša telemetria totiž zaznamenala detekcie na androidových zariadeniach vo viacerých krajinách EÚ, v Spojených štátoch, na Ukrajine a na ďalších miestach vo svete. Obe aplikácie boli neskôr odstránené z obchodu Google Play.
Po prvotnom spustení aplikácie sa používateľ musí prihlásiť do škodlivej aplikácie Signal Plus Messenger rovnakým spôsobom ako v prípade oficiálnej aplikácie Signal pre Android. Signal Plus Messenger je totiž útočníkom vytvorenou a trojanizovanou verziou Signalu. Po prihlásení začne aplikácia Signal Plus Messenger komunikovať so svojím riadiacim serverom. Signal Plus Messenger môže sledovať správy zneužitím funkcie Prepojiť zariadenie. Robí to tak, že za istých okolností automaticky pripojí napadnuté zariadenie k zariadeniu Signal útočníka. Tento spôsob špehovania je jedinečný, naši výskumníci sa doteraz nestretli so zneužitím tejto funkcie iným škodlivým softvérom. Oficiálna verzia Signalu je však bezpečná na používanie.
V prípade falošnej aplikácie FlyGram, ktorá je trojanizovanou verziou Telegramu, sa obeť prihlasuje prostredníctvom legitímnej funkcionality, podobne ako to vyžaduje oficiálna aplikácia Telegram. Pred dokončením prihlásenia začne aplikácia FlyGram komunikovať s riadiacim serverom a BadBazaar získa možnosť vyniesť citlivé informácie zo zariadenia. FlyGram môže získať prístup k zálohám, ak má používateľ aktivovanú špecifickú funkciu pridanú útočníkmi, pričom túto funkciu malo aktivovanú najmenej 13 953 používateľských účtov. Na rozdiel od škodlivej aplikácie Signal Plus Messenger FlyGram nedokáže prepojiť účet FlyGram s útočníkom ani zachytiť šifrovanú komunikáciu svojich obetí.
Iná objavená hrozba môže byť takisto zaujímavá aj pre slovenských používateľov. Telekopye je súbor nástrojov, ktorý pomáha aj menej technicky zdatným útočníkom ľahšie zvládnuť online podvody. ESET odhaduje, že Telekopye sa používa minimálne od roku 2015. Medzi jeho funkcie patrí vytváranie phishingových webových stránok, odosielanie phishingových SMS správ a e-mailov či vytváranie falošných snímok obrazovky. Podľa telemetrie spoločnosti sa tento toolkit stále používa a je v aktívnom vývoji. Telekopye je implementovaný ako telegramový bot, ktorý umožňuje krok po kroku vytvoriť podvod na pár kliknutí.
Podarilo sa nám totiž objaviť zdrojový kód toolkitu, ktorý podvodníkom pomáha natoľko, že sa nemusia špeciálne orientovať v IT. Na oklamanie obete im stačí len šikovný jazyk. Po aktivácii poskytuje niekoľko ľahko použiteľných menu vo forme klikateľných tlačidiel. Tie dokážu vyhovieť mnohým podvodníkom naraz.
Telekopye bol nahraný do služby VirusTotal niekoľkokrát, predovšetkým z Ruska, Ukrajiny a Uzbekistanu. Ide o krajiny, z ktorých útočníci zvyčajne operujú. Usudzujeme to z jazyka použitého v komentároch v kóde a zároveň ide aj o najčastejšie cieľové trhy. Aj keď sú hlavným cieľom podvodníkov online trhoviská populárne v Rusku, ako OLX a YULA, identifikovali sme aj ciele, ktoré nie sú ruského pôvodu, napríklad BlaBlaCar či eBay. Dokonca sme identifikovali kampane na trhoviskách, ktoré s Ruskom nemajú nič spoločné a sú rozšírené v našom regióne. Ide napríklad o maďarský JOFOGAS či Sbazar dostupný aj na Slovensku.
Najjednoduchší spôsob, ako zistiť, či sa na vás zameriava podvodník Telekopye alebo iný podvodník, je hľadať anomálie, chyby a nezrovnalosti v použitom jazyku. Pri obchodovaní s použitým tovarom na online trhoviskách trvajte na osobnej výmene peňazí a tovaru vždy, keď je to možné, a vyhýbajte sa posielaniu peňazí, pokiaľ si nie ste istí, kam pôjdu.
Už teraz naši výskumníci pracujú na ďalších objavoch, s ktorými vás oboznámim opäť v ďalšom stĺpčeku na budúci mesiac. Zatiaľ želám hlavne bezpečné surfovanie kybernetickým svetom.
