Telegram、Signal「加強版」揭植入病毒偷個資、香港被列攻擊目標

撰文:蔡浩騰
出版:更新:

手機病毒 Telegram、Signal|不少港人都有使用 WhatsApp 以外的通訊 Apps,例如 Telegram、Signal 等等,不過有用家可能會認為這些 Apps 功能未夠齊全,而在 Apps 市場中另覓添加其他功能的第三方「加強版」,在 Google Play 上尤為常見;然而這些「加強版」既然非官方出品,內裡自然可能隱藏了不同的危險。

「加強版」Telegram、Signal 被揭植入木馬

根據網絡保安機構 ESET 的最新報告,在 Google Play Store 以及 Samsung Galaxy Store(Samsung 手機的專用 App Store)上發現了以「加強版」姿態出現的 Signal 以及 Telegram,其實是被篡改、並植入 BadBazaar 木馬病毒的危險 Apps,名為「Flygram」以及「Signal Plus Messenger」。

BadBazaar 木馬出自中國黑客組織 GREF,其功能以竊取用戶手機內的個人資料為主,包括跟踪設備的精確位置、竊取通話記錄和短信、錄音通話、使用相機拍照、外泄聯絡人列表以及竊取文件或數據庫,在出現初期主要是針對中國國內的少數民族為主,但其最新版本就將攻擊目標擴展至多個地區的用戶,當中包括烏克蘭、波蘭、荷蘭、西班牙、葡萄牙、德國、美國以及香港。

BadBazaar 木馬攻擊目標全球分布(圖 ESET)

ESET 報告稱,FlyGram的目標是敏感數據,如聯絡人列表、通話記錄、Google帳戶和WiFi數據,還提供了一個危險的備份功能,將Telegram通訊數據發送到攻擊者控制的伺服器。

至於 Signal Plus Messenger,則會透過 Signal 本身的 QR 碼連結功能,強行將用戶本身的 Signal 戶口與黑客的遙距伺服進行連接,並截取所有出入訊息。

Google Play 已下架、Galaxy Store 未有跟進

Flygram 與及 Signal Plus Messenger 曾一度繞過 Google Play 及 Samsung Galaxy Store 的保安審查機制,成功在兩大 App Store 上架。

不過在回報之後,Google Play Store 上的病毒 Apps 據報已被刪除,只不過 Samsung 方面的 Galaxy Store 就未有同類跟進,兩個 Apps 都仍然可以在 Galaxy Store 上找到,另外亦會通過互聯網進行散布。

不過站在用家角度,要避免同類型的侵襲,用戶應避免下載、安裝任何非官方版本的通訊 Apps,即使其功能有何強勁之處,經過第三方修改之後都不能保證其程式碼內埋下了甚麼陷阱。