Установил Telegram? Поздравляем, теперь у тебя есть куратор из Китая
Чем безопаснее приложение — тем выше шанс, что за тобой следят.
Британский Национальный центр кибербезопасности (NCSC) опубликовал совместную техническую сводку с альянсом Five Eyes, в которой описана новая активная шпионская кампания. За атакой стоит китайская APT -группа GREF , а её инструменты нацелены на пользователей как Android, так и iOS. Главной целью нападений стали этнические и религиозные меньшинства, включая тибетцев и уйгуров, а также активисты, журналисты и представители диаспор.
Основной механизм распространения вредоносного ПО — вредоносные копии популярных мессенджеров. Поддельные приложения, такие как «Signal Plus Messenger» и «Telegram from Plus», фактически представляют собой модифицированные версии оригинального открытого кода, в которые злоумышленники встроили функции скрытого наблюдения. После установки такие программы способны передавать данные о пользователе, его геолокацию, журнал вызовов, список контактов и даже перехватывать переписку.
Заражение Android-устройств осуществляется через APK-файлы, размещённые в сторонних магазинах приложений и фишинговых ссылках. Бэкдор BADBAZAAR активируется сразу после запуска и подключается к командному серверу, отправляя на него собранные данные. Помимо этого, вредонос способен обновлять своё поведение в зависимости от конфигурации, полученной с C2-сервера, что усложняет его обнаружение.
На устройствах Apple задействуется другая методика. Инструмент MOONSHINE внедряется через веб-ссылки, ведущие на специально подготовленные сайты с эксплойтами, адаптированными под конкретные версии iOS. Кампания демонстрирует высокий уровень подготовки — злоумышленники тщательно маскируют ресурсы под легитимные сервисы и используют уязвимости в Safari, чтобы получить контроль над устройством.
Жертвами чаще всего становятся люди, уже подвергавшиеся государственному надзору, что указывает на направленность кампании против определённых групп. Эксперты отмечают, что сами вредоносы были замечены ещё в 2020–2022 годах, но в настоящее время наблюдается их активное возвращение с обновлённым функционалом и адаптацией под современные системы.
Специалисты Five Eyes предупреждают, что подобные атаки могут выйти за рамки текущих геополитических интересов и быть использованы для более масштабного шпионажа . Особую тревогу вызывает возможность перехвата сообщений в реальном времени, особенно при использовании приложений с функцией зеркалирования на других устройствах.
В отчёте представлены рекомендации для снижения рисков — пользователям советуют скачивать приложения исключительно из официальных магазинов, избегать сторонних APK и регулярно обновлять систему безопасности. Организациям предложено следить за признаками компрометации и применять меры защиты, включая контроль трафика, анализ поведения устройств и блокировку вредоносных доменов.