ESET araştırmacıları, sahte Telegram ve Signal araçlarının arkasındaki tehdit aktörlerinin Çin bağlantılı APT grubu GREF ile ilişkilendirildiği, Android kullanıcılarını hedef alan iki aktif kampanya tespit etti. Her bir kötü amaçlı uygulama için sırasıyla Temmuz 2020 ve Temmuz 2022'den bu yana aktif olan kampanyalar, Android BadBazaar casusluk kodunu Google Play mağazası, Samsung Galaxy Store ve meşru şifreli sohbet uygulamaları gibi görünen özel web siteleri aracılığıyla dağıttı. Bu kötü amaçlı uygulamaların FlyGram ve Signal Plus Messenger olduğu ortaya kondu.
Çalışan bir uygulama
ESET telemetrisi Avustralya, Brezilya, Danimarka, Demokratik Kongo Cumhuriyeti, Almanya, Hong Kong, Macaristan, Litvanya, Hollanda, Polonya, Portekiz, Singapur, İspanya, Ukrayna, Amerika Birleşik Devletleri ve Yemen'den gelen tespitleri rapor ediyor. Ayrıca Google Play mağazasındaki FlyGram'a ait bir bağlantı da bir Uygur Telegram grubunda paylaşıldı. BadBazaar kötü amaçlı yazılım ailesinin uygulamaları daha önce de Uygurlara ve Çin dışındaki diğer Türk etnik azınlıklara karşı kullanılmıştı.Bir Google App Defense Alliance ortağı olan ESET, Signal Plus Messenger'ın en son sürümünü kötü amaçlı olarak tanımladı ve bulgularını ivedilikle Google ile paylaştı. ESET’in yaptığı uyarıların ardından uygulama Mağaza'dan kaldırıldı.Türk etnik azınlıklara karşı kullanılmıştı