Les chercheurs d'ESET ont identifié deux campagnes actives ciblant les utilisateurs d'Android, où les acteurs de la menace derrière l'outil sont attribués au groupe APT aligné sur la Chine GREF. Très probablement actives depuis juillet 2020 et juillet 2022, respectivement, les campagnes ont distribué le code d'espionnage Android BadBazaar via le Google Play store, le Samsung Galaxy Store et des sites web dédiés représentant les applications malveillantes Signal Plus Messenger et FlyGram. Les acteurs de la menace ont patché les applications open-source Signal et Telegram pour Android avec un code malveillant que nous avons identifié comme étant BadBazaar.

Points clés du rapport :

  • ESET Research a découvert des applications Signal et Telegram trojanisées pour Android, appelées Signal Plus Messenger et FlyGram, sur Google Play et Samsung Galaxy Store ; les deux applications ont ensuite été retirées de Google Play.
  • Le code malveillant trouvé dans ces applications est attribué à la famille de logiciels malveillants BadBazaar, qui a été utilisée dans le passé par un groupe APT aligné sur la Chine appelé GREF.
  • Les logiciels malveillants BadBazaar ont déjà été utilisés pour cibler les Ouïghours et d'autres minorités ethniques turques. Le logiciel malveillant FlyGram a également été partagé dans un groupe Telegram ouïghour, ce qui correspond au ciblage antérieur de la famille de logiciels malveillants BadBazaar.
  • FlyGram peut accéder aux sauvegardes de Telegram si l'utilisateur a activé une fonction spécifique ajoutée par les attaquants ; cette fonction a été activée par au moins 13 953 comptes d'utilisateurs.
  • Signal Plus Messenger représente le premier cas documenté d'espionnage des communications Signal d'une victime en reliant secrètement l'appareil compromis à l'appareil Signal de l'attaquant.

Sur labase de notre télémétrie, nous avons pu identifier des campagnes Android actives dans lesquelles un attaquant a téléchargé et distribué des applications malveillantes portant les noms de Signal Plus Messenger et FlyGram via le Google Play store, le Samsung Galaxy Store et des sites web dédiés, imitant l'application Signal (signalplus[.]org) et une application alternative de Telegram (flygram[.]org).

L'objectif de ces applications trojanisées est d'exfiltrer les données des utilisateurs. Plus précisément, FlyGram peut extraire des informations de base sur l'appareil, mais aussi des données sensibles, telles que les listes de contacts, les journaux d'appels et la liste des comptes Google. En outre, l'application est capable d'exfiltrer certaines informations et paramètres liés à Telegram ; cependant, ces données n'incluent pas la liste de contacts Telegram, les messages ou toute autre information sensible. Néanmoins, si les utilisateurs activent une fonction spécifique de FlyGram qui leur permet de sauvegarder et de restaurer les données de Telegram sur un serveur distant contrôlé par les attaquants, l'acteur de la menace aura un accès complet à ces sauvegardes de Telegram, et pas seulement aux métadonnées collectées. Il est important de noter que ces sauvegardes ne contiennent pas de messages réels. Lors de l'analyse de cette fonctionnalité, nous avons réalisé que le serveur attribue un identifiant unique à chaque compte utilisateur nouvellement créé. Cet identifiant suit un schéma séquentiel, ce qui indique qu'au moins 13 953 comptes FlyGram ont activé cette fonction.

Signal Plus Messenger collecte des données similaires sur les appareils et des informations sensibles ; son objectif principal est toutefois d'espionner les communications Signal de la victime - il peut extraire le code PIN de Signal qui protège le compte Signal, et utilise abusivement la fonction de liaison des appareils qui permet aux utilisateurs de lier Signal Desktop et Signal iPad à leurs téléphones. Cette approche d'espionnage se distingue par son caractère unique, car elle diffère des fonctionnalités de tous les autres logiciels malveillants connus.

La vidéo ci-dessus montre comment l'acteur de la menace relie l'appareil compromis au compte Signal de l'attaquant sans aucune interaction de la part de l'utilisateur ; elle explique également comment les utilisateurs peuvent vérifier si leur compte Signal a été connecté à un autre appareil.

En tant que partenaire de Google App Defense Alliance, ESET a identifié la version la plus récente de Signal Plus Messenger comme étant malveillante et a rapidement partagé ses conclusions avec Google. À la suite de notre alerte, l'application a été retirée de la boutique. FlyGram n'a pas été signalé comme malveillant par ESET au moment où il a été initialement mis à disposition sur le Google Play store.

Le27 avril 2023, nous avons signalé Signal Plus Messenger à Google Play et au Samsung Galaxy Store. Google a pris des mesures et a supprimé l'application le23 mai 2023. FlyGram a été retiré de Google Play peu après le6 janvier 2021. À l'heure où nous écrivons ces lignes, les deux applications sont toujours disponibles surle Samsung Galaxy Store.

Vue d'ensemble

L'application malveillante Signal Plus Messenger a été initialement téléchargée sur Google Play le7 juillet 2022 et a réussi à être installée plus d'une centaine de fois. Cependant, le Galaxy Store ne fournit aucune information sur la date de téléchargement initial de l'application ou sur le nombre d'installations. Sa présence sur les deux plateformes est illustr ée par lafigure 1 .

BadBazaar Figure_01
Figure 1. Signal Plus Messenger disponible sur Google Play (à gauche) et sur le Samsung Galaxy Store (à droite)

Lesdeux applications ont été créées par le même développeur, partagent les mêmes fonctions malveillantes et les descriptions de l'application sur les deux magasins renvoient au même site web du développeur, signalplus[.]org. Le domaine a été enregistré le15 février 2022 et fournit un lien permettant de télécharger l'application malveillante Signal Plus Messenger soit à partir de Google Play, soit directement à partir du site web, comme le montreFigure 2 . Quel que soit l'endroit où l'application est téléchargée - qu'il s'agisse de la version Google Play, de la version Samsung Galaxy Store ou de la version du site web - les trois téléchargements aboutissent à l'obtention d'une version malveillante modifiée (ou corrigée) de l'application open-source Signal pour Android.

BadBazaar Figure_01
Figure 2. Site web de distribution de l'application malveillante Signal Plus Messenger

L'application malveillante FlyGram a été initialement téléchargée sur Google Play vers le4 juin 2020 et a réussi à obtenir plus de 5 000 installations avant d'être supprimée quelque temps après le6 janvier 2021.

Les deux applications FlyGram ont été signées à l'aide du même certificat de signature de code. Enoutre, la même application FlyGram est également disponible au téléchargement sur son site web dédié flygram[.]org. Ce site web a été enregistré le6 avril 2020 et fournit un lien permettant de télécharger l'application FlyGram malveillante directement à partir du site web, comme vous pouvez le voir sur la figure 3.

BadBazaar Figure_03
Figure 3. L'application malveillante FlyGram disponible au téléchargement sur Galaxy Store (à gauche) et sur un site web dédié (à droite)

Sur la base des similitudes de code, nous pouvons attribuer Signal Plus Messenger et FlyGram à la famille de logiciels malveillants BadBazaar, qui a déjà été utilisée contre des Ouïghours et d'autres minorités ethniques turques en dehors de la Chine. Lookout a attribué BadBazaar au groupe APT15, allié à la Chine ; nous expliquons ci-dessous pourquoi nous limitons l'attribution au groupe GREF et pourquoi nous ne sommes pas en mesure de relier le GREF à APT15, mais nous continuons à surveiller la situation. Pourplus de détails sur la chronologie de la découverte de BadBazaar, voir Figure 4 .

BadBazaar Figure_04
Figure 4. Chronologie de la découverte de BadBazaar

Victimologie

Notre télémétrie a signalé des détections sur des appareils Android provenant d'Australie, du Brésil, du Danemark, de la République démocratique du Congo, de l'Allemagne, de Hong Kong, de la Hongrie, de la Lituanie, des Pays-Bas, de la Pologne, du Portugal, de Singapour, de l'Espagne, de l'Ukraine, des États-Unis et du Yémen.

BadBazaar Figure 05
Figure 5. Télémétrie de détection

D'après nos recherches, outre la distribution à partir des boutiques officielles Google Play et Samsung Galaxy Store, les victimes potentielles ont également été incitées à installer l'application FlyGram à partir d'un groupe Telegram ouïghour axé sur le partage d'applications Android, qui compte aujourd'hui plus de 1 300 membres.

Le26 juillet 2020, l'un des utilisateurs du groupe a publié un lien vers FlyGram sur le Google Play store, accompagné d'une description permettant de télécharger une application Telegram multilingue, comme le montre Figure 6 . Cela pourrait aider à identifier la personne qui a ciblé les Ouïghours avec l'application malveillante FlyGram.

BadBazaar Figure_06
Figure 6. Lien pour télécharger FlyGram posté dans un groupe Telegram ouïghour

Sur la base des informations disponibles dans les magasins d'applications officiels, nous ne pouvons pas dire qui a été ciblé par la campagne, étant donné que les applications pouvaient être téléchargées sans restrictions régionales.

Attribution au GREF

Le code malveillant spécifique trouvé dans Signal Plus Messenger et FlyGram appartient à la famille de logiciels malveillants BadBazaar, que Lookout a attribué à APT15 en 2022. Cependant, après une inspection plus approfondie, cette attribution était basée sur le chevauchement de l'infrastructure du réseau avec une autre famille de logiciels malveillants Android appelée DoubleAgent, que Lookout avait déjà documentée en 2020. Lookout a établi un lien entre DoubleAgent et XSLCmd, une porte dérobée pour OS X, qui a été documentée et également reliée au groupe GREF par FireEye en 2014 . Bien que plusieurs sources affirment que le GREF est associé à APT15 (comme NCCGroup, Lookout, Malpedia), les chercheurs d'ESET ne disposent pas de suffisamment de preuves pour étayer ce lien et continuent de suivre le GREF en tant que groupe distinct.

Nous attribuons les applications malveillantes Signal Plus Messenger et FlyGram au GREF avec un niveau de confiance élevé, sur la base des indicateurs suivants :

  • D'importantes similitudes de code entre les échantillons de Signal Plus Messenger et FlyGram, et la famille de logiciels malveillants BadBazaar, que Lookout attribue au groupe GREF d'APT15. À notre connaissance, cette famille de logiciels malveillants est propre au GREF.
  • Chevauchement dans le ciblage : l'application malveillante FlyGram a utilisé un groupe Telegram ouïgour comme l'un des mécanismes de distribution. Cela correspond au ciblage d'autres chevaux de Troie Android précédemment utilisés par le GREF (BadBazaar, SilkBean, DoubleAgent, CarbonSteal et GoldenEagle).

En comparant le code malveillant d'un échantillon de BadBazaar (SHA-1 : E368DB837EDF340E47E85652D6159D6E90725B0D) découvert par Lookout avec celui de Signal Plus Messenger et FlyGram, on constate que les noms de classe et le code responsables de l'exfiltration des données des utilisateurs sont similaires ou identiques. Ceci est illustré dans Figure 7 et Figure 8 .

BadBazaar Figure_07
Figure 7. Code qui recueille des informations sur l'appareil : Échantillon de BadBazaar découvert par Lookout (à gauche) et Signal Plus Messenger (à droite)
Figure_08
Figure 8. Code malveillant responsable de la collecte d'informations Wi-Fi dans BadBazaar (à gauche) et FlyGram (à droite
)

Signal Plus Messenger et FlyGram contiennent également le même code que BadBazaar pour vérifier si l'opérateur de l'appareil est chinois : voir Figure 9 .

Figure_07
Figure 9. Code permettant de vérifier si l'opérateur de l'appareil est chinois

Ce code est propre à la famille de logiciels malveillants BadBazaar.

Analyse technique

Signal Plus Messenger et FlyGram sont des variantes légèrement différentes de BadBazaar qui se concentrent sur l'exfiltration des données des utilisateurs et l'espionnage. Cependant, il est important de noter que chacune d'entre elles possède des fonctionnalités malveillantes uniques. Par souci de clarté et pour éviter toute confusion, nous allons analyser chaque variante séparément.

Signal Trojanized - Signal Plus Messenger app

Après le démarrage initial de l'application, l'utilisateur doit se connecter à Signal Plus Messenger via la fonctionnalité légitime de Signal, comme il le ferait avec l'application officielle Signal pour Android. Une fois connecté, Signal Plus Messenger commence à communiquer avec son serveur de commande et de contrôle (C&C), situé à l'adresse signalplus[.]org:4332. Au cours de cette communication, l'application envoie au serveur diverses informations sur l'appareil, telles que : Le numéro IMEI, le numéro de téléphone, l'adresse MAC, les coordonnées de l'opérateur, les données de localisation, les informations Wi-Fi, le code PIN de Signal qui protège le compte (si l'utilisateur l'a activé), les courriels des comptes Google et la liste des contacts. La demande du serveur est visible sur Figure 10 .

Figure_11
Figure 10. BadBazaar télécharge des informations sur l'appareil vers son serveur C&C

Lesapplications Signal légitimes offrent une fonctionnalité qui permet aux utilisateurs de relier Signal Desktop et Signal iPad à leur téléphone afin de communiquer de manière pratique entre plusieurs appareils. Pour relier correctement des appareils Signal supplémentaires à un smartphone, l'utilisateur doit d'abord scanner un code QR affiché sur l'appareil qu'il souhaite coupler. Après avoir scanné le code, l'utilisateur autorise la connexion en appuyant sur le bouton Lier l'appareil, comme le montre la figure 11 . Le code QR contient un URI unique avec un ID et une clé générés, garantissant une liaison sécurisée et individualisée pour chaque nouveau code QR. Un exemple d'URI est sgnl://linkdevice?uuid=<redacted>fV2MLK3P_FLFJ4HOpA&pub_key=<redacted>1cCVJIyt2uPJK4fWvXt0m6XEBN02qJGpc%2BmvQa.

BadBazaar Figure_01
Figure 11.
L'
utilisateur doit confirmer la liaison entre les appareils

Signal Plus Messenger peut espionner les messages Signal en utilisant abusivement la fonction de liaison des appareils. Pour ce faire, il connecte automatiquement l'appareil compromis à l'appareil Signal de l'attaquant. Cette méthode d'espionnage est unique, car nous n'avons jamais vu cette fonctionnalité détournée par d'autres logiciels malveillants, et c'est la seule méthode par laquelle l'attaquant peut obtenir le contenu des messages Signal.

BadBazaar, le logiciel malveillant responsable de l'espionnage, contourne le processus habituel de balayage du code QR et de clic de l'utilisateur en recevant l'URI nécessaire de son serveur C&C et en déclenchant directement l'action nécessaire lorsque le bouton " Link device" est cliqué . Le logiciel malveillant peut ainsi relier secrètement le smartphone de la victime à l'appareil de l'attaquant, ce qui lui permet d'espionner les communications de Signal à l'insu de la victime, comme l'illustre lafigure 12 .

BadBazaar Figure_01
Figure 12. Mécanisme permettant de relier les communications Signal de la victime à l'attaquant

ESET Research a informé les développeurs de Signal de cette faille. Le service de messagerie cryptée a indiqué que les acteurs de la menace peuvent modifier le code de n'importe quelle application de messagerie et la promouvoir de manière trompeuse ou mensongère. Dans ce cas, si les clients officiels de Signal affichent une notification chaque fois qu'un nouvel appareil est lié au compte, la fausse version pourrait simplement désactiver ce chemin de code pour contourner l'avertissement et cacher tout appareil lié de manière malveillante. La seule façon d'éviter d'être victime d'un faux Signal - ou de toute autre application de messagerie malveillante - est de ne télécharger que les versions officielles de ces applications, uniquement à partir des canaux officiels.

Au cours de nos recherches, le serveur n'a pas renvoyé à l'appareil une URI pour la liaison, ce qui indique que cette fonction n'est probablement activée que pour des utilisateurs spécifiquement ciblés, sur la base des données précédemment envoyées par le logiciel malveillant au serveur C&C.

Pour comprendre et reproduire ce comportement, nous avons utilisé la boîte à outils d'instrumentation Frida pour simuler un comportement malveillant et établir un lien automatique entre notre appareil Signal Android compromis (victime) et notre appareil Signal Desktop (attaquant), fonctionnant sur un ordinateur portable. Ce processus de liaison s'est déroulé silencieusement, sans interaction ni notification à l'utilisateur.

Pour s'assurer qu'un compte Signal n'est pas lié à un autre appareil, l'utilisateur doit aller dans Paramètres -> Appareils liés. Cela permet aux utilisateurs de détecter tout lien non autorisé avec leur compte Signal et de prendre les mesures appropriées pour sécuriser leurs communications, car BadBazaar ne peut pas masquer un appareil connecté par l'attaquant dans le menu Appareils liés, comme illustré dans Figure 13 .

BadBazaar Figure_01
Figure 13. Liste des appareils liés

BadBazaar utilise des serveurs proxy qui sont reçus du serveur C&C. Le logiciel malveillant peut recevoir jusqu'à six serveurs proxy. Le logiciel malveillant peut recevoir jusqu'à six serveurs proxy différents, qui renvoient à des sous-domaines du serveur C&C. Tous les serveurs proxy fournis par Signal Plus Messenger sont des serveurs proxy.

Tous les serveurs proxy fournis par Signal Plus Messenger sont :

  • proxy1.signalplus[.]org 154.202.59[.]169
  • proxy2.signalplus[.]org 92.118.189[.]164
  • proxy3.signalplus[.]org 45.154.12[.]151
  • proxy4.signalplus[.]org 45.154.12[.]202
  • proxy5.signalplus[.]org 103.27.186[.]195
  • proxy6.signalplus[.]org 103.27.186[.]156

La fonction d'utilisation d'un serveur proxy par l'application n'est pas mise en œuvre par l'attaquant ; au lieu de cela , la fonctionnalitélégitime deproxy de Signal est utilisée mais acheminée via le serveur de l'attaquant. Par conséquent, le serveur proxy de l'attaquant peut éventuellement enregistrer certaines métadonnées, mais ne peut pas décrypter les données et les messages envoyés ou reçus par Signal lui-même.

L'application Telegram - FlyGram transformée en cheval de Troie

Après le lancement initial de l'application, l'utilisateur doit se connecter à l'application FlyGram via sa fonctionnalité Telegram légitime, comme c'est le cas pour l'application Telegram officielle. Avant que la connexion ne soit terminée, FlyGram commence à communiquer avec le serveur C&C situé à flygram[.]org:4432 en envoyant des informations de base sur l'appareil, telles que le numéro IMEI, l'adresse MAC, le nom de l'utilisateur, le numéro de téléphone et l'adresse IP : Le numéro IMEI, l'adresse MAC, le nom de l'opérateur, la langue de l'appareil et le fuseau horaire. En fonction de la réponse du serveur, BadBazaar est en mesure d'exfiltrer d'autres informations sensibles de l'appareil, notamment :

  • la liste des contacts,
  • journaux d'appels,
  • la liste des applications installées,
  • la liste des comptes Google,
  • la localisation de l'appareil
  • Les informations Wi-Fi (adresse IP, SSID, BSSID, adresse MAC, passerelle, DNS, découverte de l'analyse du réseau local).

FlyGram peut également recevoir une URL du serveur C&C pour télécharger une mise à jour ; voir la figure 14. La mise à jour téléchargée (flygram.apk) n'est pas chargée dynamiquement en tant que charge utile supplémentaire, mais doit être installée manuellement par l'utilisateur. Lors de notre examen, nous n'avons pas pu accéder au fichier de mise à jour car le lien de téléchargement n'était plus actif.

BadBazaar Figure_01
Figure 14. Réponse du serveur avec lien URL vers la mise à jour de FlyGram

BadBazaar peut exfiltrer des fichiers internes de Telegram situés dans le répertoire /data/data/org.telegram.messenger/shared_prefs. Ces fichiers contiennent informations et paramètres liés à Telegram, tels que le jeton de compte, le dernier numéro appelé et la langue de l'application. Cependant, ils n'incluent pas la liste de contacts de Telegram, les messages ou toute autre donnée sensible.

Pour mener à bien le processus d'exfiltration, BadBazaar compresse le contenu de ce répertoire, en excluant les fichiers portant l'extension .jpg ou .png. Les données compressées sont ensuite stockées dans le fichier /data/data/org.telegram.FlyGram/cache/tgmcache/tgdata.rc. Enfin, le logiciel malveillant envoie ce fichier compressé au serveur C&C, comme le montre laFigure 15 .

BadBazaar Figure_01
Figure 15. Extrait de code responsable de la liste des fichiers du répertoire shared_prefs

Les acteurs de BadBazaar ont pris des mesures pour protéger leur application FlyGram afin qu'elle ne soit pas interceptée lors de l'analyse du trafic réseau par des analystes de logiciels malveillants ou des outils de bac à sable automatisés qui tentent d'identifier le serveur C&C et les activités d'exfiltration de données. Cette protection a été obtenue grâce à une technique appelée "SSL pinning" (épinglage SSL).

L'épinglage SSL est mis en œuvre dans la classe org.telegram.Api.Utils.CertUtils, comme le montre la figure 16. Le certificat est stocké dans le répertoire des ressources du fichier APK, plus précisément dans le fichier /res/raw/telemon_client.cer en utilisant WMSvc-WIN-50QO3EIRQVP comme nom commun (CN). Ce mécanisme d'épinglage SSL garantit que seules les communications chiffrées avec le certificat prédéfini sont autorisées, ce qui rend difficile l'interception et l'analyse du trafic réseau entre l'application FlyGram et son serveur C&C par des personnes extérieures. En revanche, l'application Signal Plus Messenger n'utilise pas l'épinglage SSL, ce qui signifie qu'elle ne dispose pas de ce niveau de protection spécifique.

BadBazaar Figure_01
Figure 16.
Épinglage
SSL mis en œuvre par BadBazaar

En plus de la fonctionnalité Telegram légitime, les développeurs de FlyGram ont mis en place une fonction Cloud Sync qui permet aux utilisateurs de sauvegarder et de restaurer les contacts Telegram, les photos de profil, les groupes, les canaux, etc. (voir figure 17). Pour utiliser cette fonction, l'utilisateur doit d'abord créer un compte. Lecompte est créé à l'aide de l'API du serveur C&C de l'attaquant (flygram[.]org:4432) ; une fois le compte créé, les utilisateurs peuvent télécharger leurs sauvegardes vers le serveur C&C de l'attaquant ou récupérer leurs sauvegardes précédentes à partir de ce serveur.

BadBazaar Figure_01
Figure 17. Écran de connexion à Cloud Sync (à gauche) et interface de synchronisation des comptes (à droite)

Lors de notre examen approfondi de l'API Cloud Sync, nous avons fait une découverte intéressante. Le serveur fournit un identifiant distinct pour chaque compte utilisateur nouvellement créé. Cet ID est une valeur unique qui augmente séquentiellement (d'une unité) avec chaque nouveau compte. En analysant ces valeurs d'ID, nous pouvons estimer le nombre d'utilisateurs qui ont installé FlyGram et se sont inscrits à la fonction Cloud Sync. Au moment denotre analyse, notre dernier compte test s'est vu attribuer la valeur ID 13'953 (voir Figure 18 ), indiquant qu'à ce moment 13'953 utilisateurs (dont nous deux fois) avaient créé des comptes avec la fonctionnalité Cloud Sync activée .

BadBazaar Figure_01
Figure 18.
La
réponse du serveur C&C renvoie les données de l'utilisateur avec l'ID

FlyGram utilise également des serveurs proxy reçus du serveur C&C ; nous avons observé ces cinq serveurs proxy :

  • 45.63.89[.]238:1011
  • 45.133.238[.]92:6023
  • 217.163.29[.]84:7011
  • 185.239.227[.]14:3023
  • 62.210.28[.]116:2011

Pour activer la fonctionnalité de serveur proxy, les attaquants ne l'ont pas implémentée directement dans l'application. Au lieu de cela, ils ont utilisé la fonctionnalité légitime de Telegram, mais l'ont réacheminée via leurs propres serveurs. Par conséquent, le serveur proxy de l'attaquant peut être en mesure d'enregistrer certaines métadonnées, mais il ne peut pas décrypter les données et les messages réels échangés au sein de Telegram. Contrairement à Signal Plus Messenger, FlyGram n'a pas la capacité de relier un compte Telegram à l'attaquant ou d'intercepter les communications chiffrées de ses victimes.

Conclusion

Deux campagnes Android actives menées par le groupe APT GREF ont distribué le logiciel malveillant Android BadBazaar via deux applications, par l'intermédiaire du magasin officiel Google Play, et le distribuent toujours via le Samsung Galaxy Store, des magasins d'applications alternatifs et des sites web dédiés. Un lien vers FlyGram dans la boutique Google Play a également été partagé dans un groupe Telegram ouïghour. Le code malveillant de la famille BadBazaar était caché dans des applications Signal et Telegram trojanisées, ce qui devrait permettre aux victimes de bénéficier d'une application fonctionnelle (sans raison de la supprimer), mais avec des activités d'espionnage en arrière-plan.

L'objectif principal de BadBazaar est d'exfiltrer les informations de l'appareil, la liste des contacts, les journaux d'appels et la liste des applications installées, et d'espionner les messages Signal en reliant secrètement l'application Signal Plus Messenger de la victime à l'appareil de l'attaquant.

Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à l'adresse threatintel@eset.com.
ESET Research propose des rapports de renseignements privés sur les APT et des flux de données. Pour toute question concernant ce service, visitez la page ESET Threat Intelligence.

IoCs

Fichiers

SHA-1

Package name

ESET detection name

Description

19E5CF2E8EED73EE614B668BC1DBDDA01E058C0C

org.thoughtcrime.securesmsplus

Android/Spy.BadBazaar.A

BadBazaar malware.

DAB2F85C5282889E678CD0901CD6DE027FD0EC44

org.thoughtcrime.securesmsplus

Android/Spy.BadBazaar.A

BadBazaar malware from Google Play store.

606E33614CFA4969F0BF8B0828710C9A23BDA22B

org.thoughtcrime.securesmsplus

Android/Spy.BadBazaar.A

BadBazaar malware from Samsung Galaxy Store.

C6E26EAFBF6703DC19446944AF5DED65F86C9571

org.telegram.FlyGram

Android/Spy.BadBazaar.A

BadBazaar malware from distribution website and Samsung Galaxy Store.

B0402E3B6270DCA3DD42FFEB033F02B9BCD9228E

org.telegram.FlyGram

Android/Spy.BadBazaar.A

BadBazaar malware from Google Play store.

Réseau

IP

Domain

Hosting provider

First seen

Details

45.63.89[.]238

45.63.89.238.vultrusercontent[.]com

The Constant Company, LLC

2020-01-04

FlyGram proxy server.

45.133.238[.]92

mail.pmumail[.]com

XNNET LLC

2020-11-26

FlyGram proxy server.

45.154.12[.]132

signalplus[.]org

MOACK.Co.LTD

2022-06-13

C&C server.

45.154.12[.]151

proxy3.signalplus[.]org

MOACK.Co.LTD

2021-02-02

Signal Plus proxy server.

45.154.12[.]202

proxy4.signalplus[.]org

MOACK.Co.LTD

2020-12-14

Signal Plus proxy server.

62.210.28[.]116

62-210-28-116.rev.poneytelecom[.]eu

SCALEWAY S.A.S.

2020-03-08

FlyGram proxy server.

82.180.174[.]230

www.signalplus[.]org

Hostinger International Limited

2022-10-26

Distribution website.

92.118.189[.]164

proxy2.signalplus[.]org

CNSERVERS LLC

N/A

Signal Plus proxy server.

103.27.186[.]156

proxy6.signalplus[.]org

Starry Network Limited

2022-06-13

Signal Plus proxy server.

103.27.186[.]195

proxy5.signalplus[.]org

Starry Network Limited

2021-12-21

Signal Plus proxy server.

148.251.87[.]245

flygram[.]org

Hetzner Online GmbH - Contact Role, ORG-HOA1-RIPE

2020-09-10

C&C server.

154.202.59[.]169

proxy1.signalplus[.]org

CNSERVERS LLC

2022-06-13

Signal Plus proxy server.

156.67.73[.]71

www.flygram[.]org

Hostinger International Limited

2021-06-04

Distribution website.

185.239.227[.]14

N/A

Starry Network Limited

N/A

FlyGram proxy server.

217.163.29[.]84

N/A

Abuse-C Role

N/A

FlyGram proxy server.

Techniques ATT&CK de MITRE

Ce tableau a été construit en utilisant la version 13 du cadre ATT&CK de MITRE.

 

Tactic

ID

Name

Description

Discovery

T1418

Software Discovery

BadBazaar can obtain a list of installed applications.

T1422

System Network Configuration Discovery

BadBazaar can extract IMEI, IMSI, IP address, phone number, and country.

T1426

System Information Discovery

BadBazaar can extract information about the device, including SIM serial number, device ID, and common system information.

Collection

T1533

Data from Local System

BadBazaar can exfiltrate files from a device.

T1430

Location Tracking

BadBazaar tracks device location.

T1636.002

Protected User Data: Call Logs

BadBazaar can extract call logs.

T1636.003

Protected User Data: Contact List

BadBazaar can extract the device’s contact list.

T1638

Adversary-in-the-Middle

BadBazaar can link the victim’s Signal account to a device the attacker controls and intercept communications.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

BadBazaar uses HTTPS to communicate with its C&C server.

T1509

Non-Standard Port

BadBazaar communicates with its C&C server using HTTPS requests over port 4332 or 4432.

Exfiltration

T1646

Exfiltration Over C2 Channel

BadBazaar exfiltrates data using HTTPS.