Una versión falsa de la aplicación de mensajería privada Signal se colocó en Google Play y parece estar vinculada a una operación de espionaje china, según han denunciado este miércoles varios investigadores.
Los hackers, apodados por los investigadores de la empresa de ciberseguridad ESET como GREF, también publicaron una versión en la Galaxy Store de Samsung.
El objetivo principal de la falsa Signal, que se llamaba Signal Plus Messenger y funcionaba igual que la versión legítima, es espiar las comunicaciones de la aplicación real, según el investigador de ESET Lukas Stefanko.
La versión estándar de Signal permite a los usuarios vincular la aplicación móvil a su ordenador de sobremesa o iPad de Apple. El malicioso Signal Plus Messenger abusaba de esa característica conectando automáticamente el dispositivo comprometido a la cuenta del atacante en segundo plano, de modo que daba acceso a todos los mensajes, explicó Stefanko a Forbes.
Eso ocurre “sin que el usuario se dé cuenta de nada ni acepte ninguna notificación, todo se hace en silencio”.
Según Stefanko, que publicó un blog y un vídeo en YouTube sobre las maquinaciones del ataque, se trata del primer caso documentado de espionaje de la señal de una víctima a través de un "autolinking" secreto.
Aunque los ataques muestran cómo hackers vinculados a China han encontrado la forma de burlar los controles de seguridad de dos de las mayores empresas tecnológicas del mundo, también suponen un intento sin precedentes de espiar las comunicaciones de Signal.
“Estamos profundamente preocupados por cualquiera que haya confiado y descargado esta aplicación. Instamos a Samsung y a otros a actuar rápidamente para eliminar este malware”, dijo la presidenta de Signal.
La presidenta de Signal, Meredith Whittaker, declaró a Forbes: “Nos alegramos de que la tienda Play haya retirado de su plataforma este malware pernicioso que se hacía pasar por Signal, y esperamos que hagan más en el futuro para impedir las estafas depredadoras a través de su plataforma”.
Stefanko encontró pruebas de que el mismo equipo de piratas informáticos también creó una aplicación maliciosa para Telegram llamada Flygram, que estaba disponible en Google Play y Samsung Galaxy Store.
Señaló que los enlaces para descargar la aplicación también se compartieron en un grupo de Telegram para uigures, grupo poblacional de China.
El especialista dijo que, aunque se habían producido menos de 500 descargas de la falsa Signal en Google Play, creía que los ataques eran probablemente selectivos, lo que significa que los atacantes no iban a por un amplio conjunto de usuarios, sino a por individuos concretos.
Sin embargo, el falso Telegram puede haber tenido un impacto más amplio. Según Stefanko, FlyGram podía acceder a las copias de seguridad de Telegram si el usuario activaba una función específica del malware.
La aplicación fue activada por al menos 13.953 cuentas de usuario.
Mientras que Google eliminó ambas aplicaciones después de que ESET advirtiera al gigante tecnológico, Samsung aún no ha tomado ninguna medida, a pesar de que se le notificó en mayo.
Ni Google ni Samsung han respondido a las peticiones de comentarios.
