中国相关威胁行为者利用恶意应用程式进行间谍活动
主要要点
GREF组织借由恶意的Telegram和Signal应用程式向用户传播BadBazaar间谍软件。此次攻击主要影响美国、德国和波兰的Android用户,涉及FlyGram和Signal Plus Messenger应用程式。间谍软件可以窃取用户的敏感数据,包括联络人名单、通话记录及已安装应用程式的清单。根据The Hacker News的报导,与中国有关的威胁行为者GREF利用在Google Play商店和Samsung Galaxy商店中可获得的恶意Telegram和Signal即时通讯应用程式,来发送BadBazaar间谍软件。ESET的报告显示,这场自2022年7月开始的BadBazaar间谍软件活动主要影响了美国、德国和波兰的Android设备用户,特别是使用FlyGram和Signal Plus Messenger这两款应用程式的用户。
这些恶意应用不仅执行敏感用户数据的窃取,还会进一步渗透到备份和个人识别码PIN中。进一步调查发现,FlyGram还能透过SSL钉选SSL pinning来避免被分析,而Signal Plus Messenger则允许攻击者将受影响设备与其Signal帐户连接。研究员Lukas Stefanko指出:BadBazaar的主要目的是窃取设备信息、联络人名单、通话记录以及已安装应用程式的清单,同时秘密地将受害者的Signal Plus Messenger应用与攻击者的设备连接,以进行Signal消息的间谍活动。
蚂蚁NPV加速器安卓相关连结 BadBazaar间谍软件分析报告 ESET报告详细信息
此攻击方式再次提醒用户在安装应用程式时要保持警惕,尤其是来自不明来源的应用程式,以免个人数据遭到窃取。
