Szybkie pobieranie “lżejszej” lub “ulepszonej” wersji znanego komunikatora na naszym urządzeniu może się skończyć podaniem danych osobowych przestępcom, nawet jeśli dokonujemy pobrania aplikacji z oficjalnego sklepu. Wyraźnie pokazuje to kampania szpiegowskiego kodu BadBazaar, który uderzył także w Polaków.

Dwie interesujące kampanie wymierzone w użytkowników Androida namierzyła firma ESET. Polegały one na rozprowadzaniu kodu szpiegującego BadBazaar, który został dołączony do dwóch złośliwych aplikacji jakimi były:

1. Signal Plus Messenger (była to wersja Signala “wzbogacona” o szpiegujący dodatek) oraz
2. FlyGram (rzekoma alternatywna wersja Telegrama).

Aplikacje udało się przestępcom umieścić w dwóch sklepach z aplikacjami – Google Play oraz Samsung Galaxy Store. Były też promowane na stronach internetowych.

Obie aplikacje zbierały dane o użytkownikach, przy czym FlyGram był w stanie uzyskiwać m.in.

1. listy kontaktów,
2. rejestry połączeń,
3. informacje o kontach Google,
4. niektóre ustawienia związane z oryginalnym Telegramem.

Atakujący mogli też uzyskać dostęp do danych z aplikacji Telegram, ale użytkownik musiał najpierw sam włączyć specjalną funkcję FlyGrama, umożliwiającą zrobienie kopii tych danych.

Jeśli chodzi o aplikację Signal Plus Messenger to jej głównym zadaniem było szpiegowanie komunikacji na Signalu. Odbywało się to poprzez powiązanie podszywającej się pod Signala aplikacji na urządzeniu ofiary z klientem Signala na urządzeniu atakującego. W efekcie, do jednego konta dostęp mają dwa urządzenia, w tym jedno niezaufane.