这款恶意软件之前曾被用来针对中国的少数民族,但电脑安全公司ESET的研究员卢卡斯·斯特凡科(Lukas Stefanko)发现,此次黑客集团GREF的攻击目标是乌克兰、波兰、荷兰、西班牙、葡萄牙、德国、香港和美国的用户。
BadBazaar可以跟踪设备的精确位置、窃取通话记录和短信、录音电话、使用相机拍照、泄露联系人列表以及窃取文件或数据库。
GREF在这波活动中使用的两款应用程序,分别是「Signal Plus Messenger」和「FlyGram」,两者都是广受欢迎的开源通讯软件「Signal」和「Telegram」的补丁版本。
这些黑客还在「signalplus.org」和「flygram.org」网址里建立了专门的网站,借此增加恶意软件的合法性,再提供从谷歌商店、三星商店,或直接从网站安装这两款应用程序的链接。
其中,FlyGram会针对联络人清单、通话记录、Google帐户和WiFi数据等敏感资料,提供危险的备份功能,将Telegram的通信数据发送到由黑客所控制的服务器。目前数据显示至少有13,953名flygram用户启用了这个备份功能,但还不确定下载该间谍软件的用户总数。
Signal Plus Messenger除了会收集类似的信息,但更聚焦于提取Signal里面的特定信息,例如受害者的通讯,以及保护用户免遭未经授权访问的PIN。
此外,假冒的Signal应用程序还允许黑客将受害者的Signal帐户链接到由他们控制的设备,这样就能看到受害者未来的聊天消息。
正常的Signal能允许用户将多个设备链接到一个帐户,这样就能从所有设备上看到聊天消息。
但恶意的Signal Plus Messenger能绕过二维码链接的安全机制,在受害者不知情的情况下,自动将黑客的设备链接到受害者的Signal帐户。
ESET表示,这种监视Signal的方法以前曾被使用过,因为它是获取Signal里面讯息的唯一方法。
用户想确定自己的Signal帐户,是否有遭到恶意设备链接,可以启动正版的Signal应用程序,然后到《设置》=>《链接设备》里,就能查看和管理所有连接的设备。
有在使用这两种APP的用户,建议要到官网下载原始版本,并避免下载宣称有附带额外功能的APP,即使它们在谷歌及三星商店中都有提供。
- 请登录(可化名)后发言。
请直接或化名登录后发贴。
