{"id":18781,"date":"2023-09-10T23:50:57","date_gmt":"2023-09-11T03:50:57","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=18781"},"modified":"2023-09-11T00:02:18","modified_gmt":"2023-09-11T04:02:18","slug":"aplicaciones-troyanizadas-de-telegram-y-signal","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/09\/10\/aplicaciones-troyanizadas-de-telegram-y-signal\/","title":{"rendered":"Aplicaciones troyanizadas de Telegram y Signal"},"content":{"rendered":"

El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 dos campa\u00f1as activas dirigidas a usuarios de Android, donde los actores de amenazas detr\u00e1s de la herramienta se atribuyen al grupo APT (Advanced Persistent Threat) GREF, alineado con China. Probablemente activas desde julio de 2020 y julio de 2022, las campa\u00f1as distribuyeron el c\u00f3digo de espionaje de Android BadBazaar a trav\u00e9s de Google Play Store, Samsung Galaxy Store y sitios web dedicados que representan las aplicaciones maliciosas Signal Plus Messenger y FlyGram. Los actores de la amenaza parchearon las apps de c\u00f3digo abierto Signal y Telegram para Android con el c\u00f3digo malicioso identificado como BadBazaar.<\/p>\n

Bas\u00e1ndose\u00a0en su telemetr\u00eda, ESET identific\u00f3 campa\u00f1as activas de Android en las que un atacante subi\u00f3 y distribuy\u00f3 aplicaciones maliciosas que responden a los nombres de Signal Plus Messenger y FlyGram a trav\u00e9s de Google Play Store, Samsung Galaxy Store y sitios web dedicados, imitando la aplicaci\u00f3n Signal (signalplus[.]org) y una aplicaci\u00f3n alternativa de Telegram (flygram[.]org).<\/p>\n

El objetivo de estas aplicaciones troyanizadas es filtrar datos de los usuarios. En concreto, FlyGram puede extraer informaci\u00f3n b\u00e1sica del dispositivo, pero tambi\u00e9n datos sensibles, como listas de contactos, registros de llamadas y la lista de cuentas de Google. Adem\u00e1s, la aplicaci\u00f3n es capaz de filtrar cierta informaci\u00f3n y configuraciones relacionadas con Telegram; sin embargo, estos datos no incluyen la lista de contactos de Telegram, mensajes o cualquier otra informaci\u00f3n sensible.<\/p>\n

No obstante, si los usuarios activan una funci\u00f3n espec\u00edfica de FlyGram que les permite realizar copias de seguridad y restaurar los datos de Telegram en un servidor remoto controlado por los atacantes, el actor de la amenaza tendr\u00e1 acceso completo a estas copias de seguridad de Telegram, no solo a los metadatos recopilados.<\/p>\n

Estas copias de seguridad no contienen mensajes reales. Durante el an\u00e1lisis de esta caracter\u00edstica, desde ESET detectaron que el servidor asigna un ID \u00fanico a cada cuenta de usuario reci\u00e9n creada. Este ID sigue un patr\u00f3n secuencial, lo que indica que un m\u00ednimo de 13.953 cuentas de FlyGram hab\u00edan activado esta funci\u00f3n.<\/p>\n

Signal Plus Messenger recopila datos de dispositivos e informaci\u00f3n sensible similares; su principal objetivo, sin embargo, es espiar las comunicaciones Signal de la v\u00edctima: puede extraer el n\u00famero PIN de Signal que protege la cuenta Signal y hace un uso indebido de la funci\u00f3n de enlace de dispositivos que permite a los usuarios vincular Signal Desktop y Signal iPad a sus tel\u00e9fonos. Este m\u00e9todo de espionaje destaca por su singularidad, ya que difiere de la funcionalidad de cualquier otro malware conocido.<\/p>\n

La telemetr\u00eda de ESET inform\u00f3 de detecciones en dispositivos Android de Australia, Brasil, Dinamarca, Rep\u00fablica Democr\u00e1tica del Congo, Alemania, Hong Kong, Hungr\u00eda, Lituania, Pa\u00edses Bajos, Polonia, Portugal, Singapur, Espa\u00f1a, Ucrania, Estados Unidos y Yemen. Adem\u00e1s de la distribuci\u00f3n desde la tienda oficial Google Play y Samsung Galaxy Store, las v\u00edctimas potenciales tambi\u00e9n fueron atra\u00eddas para instalar la aplicaci\u00f3n FlyGram desde un grupo de Telegram uigur centrado en el intercambio de aplicaciones de Android, que cuenta con m\u00e1s de 1.300 miembros.<\/p>\n

Como socio de Google App Defense Alliance, ESET identific\u00f3 la versi\u00f3n m\u00e1s reciente de Signal Plus Messenger como maliciosa y comparti\u00f3 r\u00e1pidamente sus hallazgos con Google. Tras su alerta, la aplicaci\u00f3n fue eliminada de la tienda. El 27 de abril de 2023, ESET denunci\u00f3 Signal Plus Messenger tanto en Google Play como en Samsung Galaxy Store. Google tom\u00f3 medidas y elimin\u00f3 la aplicaci\u00f3n el 23 de mayo de 2023. FlyGram fue retirada de Google Play en alg\u00fan momento despu\u00e9s del 6 de enero de 2021.\u00a0Al momento, ambas aplicaciones siguen disponibles\u00a0en\u00a0Samsung Galaxy Store.<\/p>\n

Puntos clave del informe:<\/i><\/b><\/p>\n