中国黑客向Google Play商店上传特洛伊木马Signal App

据ESET称，疑似中国黑客通过向Google Play商店上传恶意版本的Signal应用程序，瞄准了Android用户。

这家反病毒提供商还注意到黑客将恶意信号应用程序和另一款基于Telegram的应用程序上传到三星Galaxy商店。

Signal和Telegram都是GitHub上提供的开源应用程序。黑客滥用了这一点，将开源版本和恶意代码添加到编程中。然后，木马程序被上传到应用商店，名为“Signal Plus Messenger”和“FlyGram”，这两个应用程序将自己定位为Telegram的替代品。

ESET研究员Lukas Stefanko在他的研究报告中写道：“这些特洛伊木马程序的目的是渗透用户数据。”具体来说，FlyGram可以提取基本的设备信息，但也可以提取敏感数据，如联系人列表、通话记录和谷歌账户列表。

另一方面，特洛伊木马Signal Plus Messenger可以收集类似的敏感数据，比如手机的联系人列表，同时还可以监视受害者的通讯。Stefanko写道：“它可以提取保护Signal账户的Signal PIN号码。”此外，恶意代码还允许黑客利用“链接设备”功能在特洛伊木马程序的信号应用程序上查看他们的消息。

好消息是，在ESET通知谷歌这一威胁后，谷歌在5月份从Play Store中删除了Signal Plus Messenger应用程序。Stefanko补充道：“恶意信号加信使应用程序最初是在2022年7月7日上传到Google Play上的，它设法安装了100多次。”

Signal Plus Messenger和特洛伊木马FlyGram应用程序仍然可以在三星Galaxy商店购买。我们联系了三星发表评论，如果他们做出回应，我们将更新报道。

ESET表示，这些应用程序中的恶意代码被称为“BadBazaar”，与中国黑客组织GREF之前的攻击相匹配，该组织的目标是维吾尔族和中国以外的其他突厥语少数民族。这家杀毒软件提供商补充说，早在2020年，特洛伊木马的FlyGram应用程序就被一个维吾尔电报群共享，该群现在拥有1300多名成员。

该恶意软件提醒您确保您正在从官方来源下载消息应用程序。ESET表示，包括美国、德国和香港在内的全球用户最终下载了特洛伊木马应用程序。为了避免此类恶意软件，最好在下载和安装应用程序之前检查该应用程序的评论。