ESETは8月30日(現地時間)、「BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps」において、GREFとして知られる中国系APTグループに関連する2つのサイバー攻撃のキャンペーンを発見したと伝えた。
発見された2つのキャンペーンは2020年7月と2022年7月から活動していたとされ、Google Playストア、Samsung Galaxyストア、および専用Webサイトから悪意のあるアプリを配布するもの。このアプリは「Signal Plus Messenger」および「FlyGram」と呼ばれ、トロイの木馬化されたAndroid向けSignalおよびTelegramアプリとみられる。ESETによると、これらアプリから見つかった悪質なコードは、BadBazaarマルウェアに起因するもので、GREFと呼ばれる中国系APTグループによって使用されたことがあるという。
ESETによると、BadBazaarは過去にウイグル人やトルコ系少数民族を標的としてたことがあるとのこと。今回発見されたFlyGramもウイグル人のTelegramグループで共有されており、過去の標的とも一致していることから、GREFが関与しているとみられている。
ESETの分析では、Signal Plus MessengerおよびFlyGramはいずれもユーザー情報の窃取とスパイ行為に焦点を当てたBadBazaarの亜種とみられている。Signal Plus Messengerは起動時に、正常なSignalアプリとしてSignalアカウント情報の入力を求める。アカウント情報が入力されログインに成功すると、コマンド&コントロール(C2: Command and Control)サーバとの通信を開始し、IMEI番号、電話番号、MACアドレス、オペレータの詳細、位置情報、Wi-Fi情報、Signal PIN、Googleアカウントのメール、連絡先リストなどを窃取する。また、Signalのリンクデバイス機能を悪用し、デバイスを追加する際に気づかれないよう攻撃者のデバイスにリンクさせることでSignalの通信を傍受する機能もあるとされる。
FlyGramも同様にTelegramのアカウント情報を入力することで、コマンド&コントロールサーバへ情報を送信する。FlyGramにはTelegramの情報をバックアップする機能があるが、この機能を使うと攻撃者のコマンド&コントロールサーバにデータを保管することになるという。ESETはこのバックアップ機能の解析において、1万3,953人(ESETの2回を含む)以上のユーザーがこのバックアップ機能を使用した可能性があるとしている。なお、FlyGramは正規のTelegramの実装を流用したため、脅威アクタはバックアップを含め実際のメッセージを解読できないとみられている。また、Telegramの通信を傍受することもできないためメッセージは保護されていると考えられている。
これらアプリはGoogle Playストアからはすでに削除されているが、Samsung Galaxyストア、および専用Webサイトからは入手可能と見られる。このような被害を回避するために、公式ストアから公式アプリの最新版をダウンロードすることが推奨されている。