Група хакерів, яку дослідники з компанії з кібербезпеки ESET назвали GREF, т випустила версію фейкового Signal у Samsung Galaxy Store. Головна мета цієї версії Signal, яку назвали Signal Plus Messenger і яка працювала точно так само, як офіційна версія, полягає в шпигунстві за спілкуванням користувачів справжнього додатка, за словами дослідника ESET Лукаса Стефанко.

Звичайна версія Signal дозволяє користувачам з'єднувати мобільний додаток з робочим столом або Apple iPad. Фейкова версія Signal Plus Messenger використовувала цю функцію, автоматично підключаючи компрометований пристрій до серверів  Signal, що атакував у фоновому режимі, тобто всі повідомлення передавалися на обліковий запис зловмисників.

Це відбувалося «без сповіщення та без відома користувача, усе відбувалося невидимо». Цей випадок став першим документованим випадком шпигунства через таку секретну функцію «автопідключення» до Signal жертви.

Ці атаки свідчать про те, як китайські хакери знайшли спосіб обійти захисні заходи двох найбільших технологічних компаній у світі. Крім того, це безпрецедентна спроба шпигувати за спілкуванням через Signal.

Президент компанії Signal, Мередіт Уіттакер, поділилася своїми думками з Forbes:

«Ми вдячні Google Play за видалення цього шкідливого контенту, який намагався видати себе за Signal, і сподіваємося, що вони прийматимуть більше заходів, щоб запобігти аферам через свою платформу в майбутньому. Ми серйозно засмучені за всіх, хто встановив цей додаток і довірив йому. Ми закликаємо компанію Samsung і інших оперативно прибрати цей шкідливий контент».

Чи може це бути новою атакою на уйгурів?

За словами експертів, той самий код, який був виявлений у Signal Plus Messenger, раніше використовувався для атак на уйгурів.

Також були виявлені докази того, що та ж сама група хакерів створила шкідливий додаток Telegram під назвою Flygram, який був доступний на Google Play і Samsung Galaxy Store. Посилання на завантаження цього додатку також розповсюджувалися в групі Telegram для уйгурів.

Фейкову версію Signal завантажили менше, ніж 500 разів на Google Play. Отже атаки, швидше за все, були спрямовані на конкретних осіб, а не на широку аудиторію.

Читайте також: Як Telegram загрожує Україні: співзасновник Petcube Ярослав Ажнюк розказав про ризики

А от фейковий Telegram може мати більший вплив. За словами кіберспеціалістів, FlyGram зміг отримати доступ до резервних копій Telegram, якщо користувач активував певну функцію у шкідливому ПЗ. Ця функція була активована принаймні на 13 953 облікових записах користувачів.

Попри попередження ESET, Google видалив обидва додатки, але компанія Samsung досі не вжила жодних заходів, навіть попри повідомлення, які були надіслані їй ще в травні. На запити про коментар ні Google, ні Samsung поки не відповіли.