Väärennetyt Signal- ja Telegram-sovellukset vakoilivat käyttäjiä – levisivät myös Google Play -kaupasta

Tietoturvayhtiö ESETin tutkijat ovat kertoneet elokuun lopulla löydöksistään liittyen väärennettyihin Signal- ja Telegram-sovelluksiin.

Rikolliset hyödynsivät viestipalvelujen Signalin ja Telegramin tunnettuutta luomalla sovellukset, jotka tarjosivat viestipalvelujen toiminnallisuuden, mutta joiden todellinen tarkoitus oli päästä käsiksi käyttäjien tietoihin.

Signalin ja Telegramin avoin lähdekoodi on mahdollistanut hyökkääjille toimivien, mutta samalla vakoilutyökalun BadBazaarin sisältävien sovellusten luomisen.

Signal Plus Messenger -niminen sovellus oli saatavilla Googlen Play-kaupassa yhdeksän kuukauden ajan ennen kuin Google poisti sen viime huhtikuussa ESETin ilmoitettua löydöksistään. Toisen sovelluksen, FlyGram, jonka takana oli sama ryhmä, Google poisti Play-kaupasta jo vuonna 2021.

Google Playn lisäksi väärennettyjä Signal- ja Telegram-sovelluksia on levitetty myös Samsungin Galaxy Storessa ja verkkosivujen kautta. Ars Technica -sivusto kertoi asiasta uutisoidessaan, ettei Samsung ollut poistanut sovelluksia omasta kaupastaan vielä 31. elokuuta. Mediahuomio näyttää tepsineen, sillä nyt sovelluksia ei näytä enää Samsunginkaan sovelluskaupasta löytyvän.

Google Playssa Signal Plus Messenger ei saavuttanut suurta suosiota, sillä sille ehti kertyä latauksia vain noin sata kappaletta.

Kaikkiaan ESETin seurannan mukaan väärennetyt Signal Plus Messenger ja FlyGram päätyivät kuitenkin tuhansiin laitteisiin muun muassa useissa EU-maissa, Yhdysvalloissa, Ukrainassa ja muualla. Suomesta havaintoja ei kuitenkaan ole tietoturvayhtiön listauksen mukaan tehty.

Signal Plus Messenger -sovellus pystyi seuraamaan käyttäjänsä lähettämiä ja vastaanottamia viestejä sekä lisäksi yhteystietoja, jos nämä yhdistivät Signal-tilinsä sovellukseen. Samalla sovellus välitti eteenpäin myös muita laitteeseen liittyviä tietoja.

Signal Plus -huijaussovellus on tiettävästi ensimmäinen tapaus, jossa sovellus on pystynyt vakoilemaan käyttäjän Signal-viestintää linkittämällä salaisesti taustalla sovelluksen ladanneen laitteen hyökkääjän Signal-laitteen kanssa.

Telegram-käyttäjiä huijaava FlyGram-sovellus ei ESETin tutkijoiden mukaan vastaavalla tavalla laitteen linkittämällä pysty kaappaamaan salattuja viestejä, mutta tietyissä tapauksissa se vie esimerkiksi Telegramin varmuuskopioita. ESETin tutkijoiden mukaan näin on tapahtunut ainakin 13 953 käyttäjätilillä.

Sovellusten sisältämä BadBazaar-vakoilutyökalu on yhdistetty tiettävästi kiinalaistaustaiseen GREF-hakkerointiryhmään.

Yleensä haittaohjelmilta välttymisessä tärkeä ohje on pitäytyä lataamasta sovelluksia muualta kuin Google Play -kaupasta. Välillä myös Play-kauppaan pesiytyy haittaohjelmia, kuten nytkin uutisoitu tapaus osoittaa. Nimenomaan nyt käsitellyn Signal- ja Telegram-palveluihin liittyvän vakoilun osalta on tärkeä huomioida käyttävänsä vain luotettavia Signal- ja Telegram-sovelluksia epämääräiseltä vaikuttavien sovellusten sijaan.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla