Un team di ricercatori ha annunciato di aver identificato sul Play Store di Google alcune applicazioni malevole che si spacciavano per le più note Telegram e Signal. Nel frattempo, le app sono già state eliminate dal marketplace, ma non prima che riuscissero ad ingannare alcune centinaia di utenti.
Queste app malevole erano in grado di estrarre messaggi o altre informazioni sensibili da account legittimi quando gli utenti compivano determinate azioni.
Una di queste app, chiamata Signal Plus Messenger, è stata disponibile su Google Play per ben nove mesi e aveva registrato circa 100 download prima che Google la rimuovesse lo scorso aprile, grazie alla segnalazione della società di sicurezza ESET. Quest’app era anche disponibile nello store di Samsung.
L’applicazione era disponibile tramite download diretto anche su un sito indipendente – per questo motivo, non è possibile determinare se l’app sia circolata molto più di quanto le stime fornite dal Play Store potrebbero suggerire.
Un’altra app, denominata FlyGram, è stata creata dallo stesso team di criminali ed era disponibile attraverso le stesse tre fonti. Google l’aveva già rimossa dal Play Store nel 2021, ma entrambe le app rimangono ancora disponibili nello store di Samsung.
Entrambe queste app sono state costruite partendo dal codice open source di Signal e Telegram. Ad ogni modo, le app nascondevano anche un malware noto con il nome BadBaazar. Si tratta di un trojan ben noto alla comunità di esperti di sicurezza informatica e che in passato era stato usato da alcuni gruppi di hacker considerati vicini al governo cinese.
Siccome l’APK della fina di versione di Telegram è stato intercettato anche in un gruppo Telegram usato dagli attivisti uiguri, è altamente probabile che anche questo attacco sia stato coordinato dalla Cina.