Подделки под защищённые мессенджеры используются для слежки за активистами

Национальный центр кибербезопасности Великобритании (NCSC) при участии партнёров из стран альянса Five Eyes (США, Канада, Австралия, Новая Зеландия) опубликовал совместное исследование, посвящённое новым случаям кибершпионажа с использованием вредоносных мобильных приложений. В центре внимания — шпионские инструменты BADBAZAAR и MOONSHINE, распространяемые через поддельные версии известных мессенджеров.

Основные цели кибершпионской кампании, предположительно связанной с властями КНР, — представители тибетских, уйгурских и тайваньских комьюнити, а также активисты, журналисты и правозащитники, критикующие действия китайских властей. Расследование показало, что жертвами становятся не только жители Китая, но и участники диаспор за рубежом.

Злоумышленники используют популярность защищённых мессенджеров — таких как Telegram и Signal — подделывая их под названием вроде «Signal Plus Messenger» или «Telegram from Plus». Эти приложения основаны на открытом исходном коде оригиналов, но содержат встроенные функции слежки: сбор геолокации, списка контактов, сообщений, а также запись звука и фото в реальном времени.

Для Android распространение осуществляется через сторонние магазины приложений, фишинговые ссылки и Telegram-каналы. BADBAZAAR активируется сразу после установки, подключается к управляющему серверу и может менять поведение в зависимости от полученной конфигурации.

На устройствах Apple применяются другие методы: MOONSHINE проникает через специально созданные сайты с вредоносным кодом и эксплойтами под iOS. Пользователи получают ссылки, замаскированные под легитимные ресурсы, что позволяет получить доступ к их устройствам без установки приложений.

Авторы отчёта отмечают, что оба инструмента уже применялись в 2020–2022 годах, но сейчас снова активизировались с обновлёнными возможностями. Кампания отличается высокой степенью целенаправленности: вредонос распространяется в тематических Telegram-группах, на Reddit и даже в официальных магазинах приложений — например, приложение TibetOne некоторое время было доступно в App Store.

Эксперты подчёркивают, что под угрозой может оказаться более широкий круг пользователей, особенно тех, кто интересуется темами прав меньшинств, свободой слова и цифровой безопасности. При этом сами вредоносные приложения могут быть неотличимы от оригиналов по названию и иконке, что делает угрозу ещё более скрытной.

Для защиты от подобных атак пользователям рекомендуют:

• устанавливать приложения только из официальных магазинов;
• не использовать взломанные версии программ;
• регулярно обновлять ОС и приложения;
• проверять права доступа уже установленных приложений;
• использовать инструменты проверки ссылок и APK-файлов, такие как VirusTotal.

Организациям также советуют отслеживать аномалии в сетевом трафике, использовать фильтрацию доменов и повышать цифровую грамотность сотрудников. Подобные кампании, по мнению специалистов, могут быть легко адаптированы для слежки за другими группами и представляют угрозу уже не только для отдельных сообществ, но и для цифровой безопасности в целом.