Chinezen spioneren via valse Signal en Telegram

31 augustus 2023 10:11 | Alfred Monterie
Topic Security
Dit artikel delen:

Cyberbeveiliger Eset waarschuwt voor Chinese spionage-apps die zich vermommen als de versleutelde messaging-apps Signal en Telegram. Beide Android-apps, genaamd Signal Plus Messenger en FlyGram, zijn inmiddels verwijderd van Google Play. De aanvallers kunnen de Signal-communicatie van een slachtoffer 'afluisteren' door diens gecompromitteerde apparaat in het geheim automatisch te koppelen aan hun eigen Signal-apparaten.

Eset heeft de stellige indruk dat Chinese staatshackers achter de hack zitten omdat de schadelijke code tot de BadBazaar-malwarefamilie behoort. Een aan China gelieerde hackersgroep genaamd Gref heeft deze malware eerder gebruikt om Oeigoeren te bespioneren. De groep kan uit een apparaat informatie, lijsten met contactpersonen en gesprekslogs halen zonder dat de gebruikers iets merken.

Na het opstarten van de app moet de gebruiker inloggen bij Signal Plus Messenger via de legitieme Signal-functionaliteit, net als bij de officiële Signal-app voor Android. Eenmaal ingelogd begint Signal Plus Messenger te communiceren met zijn command and control (c&c)-server. Signal Plus Messenger kan Signal-berichten bespioneren door misbruik te maken van de functie 'apparaat koppelen'. Het doet dit door automatisch het gecompromitteerde apparaat te verbinden met het Signal-apparaat van de aanvaller.

Uniek

Deze spionagemethode is uniek, aldus Eset. Onderzoekers hebben nog niet eerder gezien dat deze functionaliteit werd misbruikt door andere malware en dit is de enige methode waarmee de aanvaller de inhoud van Signal-berichten kan verkrijgen. Eset meldt detecties van de malware uit een groot aantal landen, waaronder Nederland. 
Bij de valse Telegram-app FlyGram moet het slachtoffer inloggen via de legitieme Telegram-functionaliteit, zoals is vereist door de officiële Telegram-app. Voordat het inloggen is voltooid, begint FlyGram te communiceren met de c&c-server en krijgt BadBazaar de mogelijkheid gevoelige informatie van het apparaat te exfiltreren. 

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Meer Security
 
Meer Nieuws
 

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2023-08-31T10:11:00.000Z Alfred Monterie


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.