Chat: attenti alle versioni con il virus
Dopo aver preso di mira WhatsApp, ora gli hacker sfruttano la popolarità crescente di Telegram e Signal per diffondere i loro pericolosi virus
Negli ultimi due anni le app di messaggistica alternative a WhatsApp hanno registrato un vero e proprio boom: WhatsApp resta certamente leader, con oltre 2 miliardi di utenti nel mondo, ma Signal e soprattutto Telegram crescono in fretta con, rispettivamente, oltre 50 e oltre 800 milioni di utenti.
Non stupisce, quindi, che queste popolari app vengano sfruttate al pari di WhatsApp per ingannare gli utenti e veicolare pericolosi virus. La conferma arriva da Lukas Stefanko, noto analista di sicurezza di Eset, che ha scoperto due versioni di Telegram e Signal infette, entrambe presenti sia su Google Play Store che su Samsung Galaxy Store.
Telegram e Signal, le versioni pericolose
Stefanko ha scoperto due app clone di Telegram e Signal, chiamate rispettivamente FlyGram e Signal Plus Messenger, che promettevano funzioni aggiuntive rispetto a quelle standard.
Il giochetto dei cybercriminali è già noto ed è lo stesso già fatto in passato con app cloni di WhatsApp, come WhatsApp Pink, YoWhatsApp, GB WhatsApp e altre app simili: ingannare gli utenti dell’app per riuscire ad accedere al loro profilo e, tramite esso, a tutto il telefono.
Come funzionano FlyGram e Signal Plus Messenger
FlyGram e Signal Plus Messenger promettono funzioni aggiuntive per Telegram e Signal, in modo gratuito e per tutti, ma in realtà non sono altro che le versioni open source delle due app con leggere modifiche estetiche.
E con il malware dentro: il ricercatore di Eset ha infatti trovato nelle due app il codice di un virus della famiglia BadBazaar, già nota da diversi mesi e sviluppata dal collettivo di hacker cinesi chiamato GREF.
Si tratta di un virus molto pericoloso, perché riesce a prendere il possesso del profilo Telegram o Signal dell’utente senza che l’utente stesso se ne possa accorgere.
In questo modo BadBazaar permette di spiare gli utenti in modo subdolo e, infatti, il virus è stato sviluppato in Cina per spiare gli attivisti delle minoranze uigura e turca.
FlyGram può estrarre informazioni di base ma anche dati sensibili, come l’elenco dei contatti, i registri delle chiamate e l’elenco degli account Google. Inoltre, l’app è in grado di esfiltrare alcune informazioni e impostazioni relative a Telegram.
Signal Plus Messenger si comporta in modo simile, ma il suo obiettivo principale è spiare le comunicazioni tramite Signal della vittima: può estrarre il numero PIN di Signal che protegge l’account e abusa della funzionalità di collegamento del dispositivo che consente agli utenti di collegare Signal Desktop e Signal iPad ai loro telefoni.
Mentre virus del genere erano stati già scoperti in passato, per quanto riguarda Signal è la prima segnalazione di questo tipo.
Come difendersi da BadBazaar
Entrambe le app infette sono state segnalate da Eset a Google e Samsung e, dopo poco, rimosse dal Play Store e dal Galaxy Store.
Questo di solito basta affinché i telefoni sui quali queste app sono state installate procedano alla cancellazione automatica. Tuttavia, poiché a volte potrebbe non succedere, è sempre meglio controllare la lista delle app installate.
Qualora dovesse esserci in elenco FlyGram o Signal Plus Messenger (o entrambe, naturalmente) bisognerà rimuovere l’app infetta manualmente e, possibilmente, fare anche una scansione antivirus profonda con una suite di sicurezza per Android.
