Signal e Telegram falsos ficaram 9 meses na loja da Google

Um aplicativo chamado Signal Plus Messenger esteve disponível na loja online da Google (Google Play) por nove meses e foi baixado cerca de 100 vezes antes de a empresa retirá-lo do ar, em abril, após ser avisada pela empresa de segurança ESET. As informações são da Ars Technica. 

Também estava disponível na loja de aplicativos Samsung e no signalplus[.]org, um site dedicado que imita o Signal.org oficial. Enquanto isso, um aplicativo chamado FlyGram foi criado pelo mesmo agente da ameaça e estava disponível pelos mesmos três canais. O Google o removeu do Play em 2021. Ambos os aplicativos permanecem disponíveis na loja Samsung, segundo informa o especialista em cibersegurança Bruce Schneier. 

Os dois aplicativos foram desenvolvidos em código-fonte aberto disponível no Signal e no Telegram. Entrelaçada nesse código estava uma ferramenta de espionagem rastreada como BadBazaar. O Trojan foi vinculado a um grupo de hackers alinhado à China, conhecido como GREF. O BadBazaar já foi usado anteriormente para atingir os uigures e outras minorias étnicas turcas. O malware FlyGram também foi compartilhado em um grupo Uyghur Telegram, alinhando-o ainda mais ao direcionamento anterior da família de malware BadBazaar.

O Signal Plus pode monitorar mensagens e contatos enviados e recebidos se as pessoas conectarem seus dispositivos infectados ao seu número legítimo do Signal, como é normal quando alguém instala o Signal pela primeira vez em seu dispositivo. Isso fez com que o aplicativo malicioso enviasse uma série de informações privadas ao invasor, incluindo o número IMEI do dispositivo, número de telefone, endereço MAC, detalhes da operadora, dados de localização, informações de Wi-Fi, e-mails para contas do Google, lista de contatos e um PIN usado para transferir textos caso tenha sido configurado pelo usuário.