网络安全研究人员警告称，谨防通过 Google Play 商店和三星 Galaxy 商店传播的假冒 Signal 和 Telegram 应用程序。

这些名为Signal Plus Messenger和FlyGram的应用程序旨在窃取用户数据，包括联系人列表、通话记录和设备信息。

Signal Plus Messenger是流行Signal应用程序的伪造版本，在Google Play商店中成功隐藏了9个月。在谷歌最终将其从应用商店中删除之前，它已经获得了100多次下载。

由同一威胁参与者开发的FlyGram也遵循类似的轨迹，但于2021年被删除。斯洛伐克网络安全公司ESET已将这些应用程序识别为Signal和Telegram的恶意版本，旨在向毫无戒心的用户传播恶意软件。

这些假冒应用程序不仅仅是模仿；它们是假冒应用程序的一部分。它们是网络间谍活动的复杂工具。ESET研究人员在博客文章中提到，假冒Telegram应用程序可以收集基本设备信息、敏感数据、Google帐户和通话记录。此外，它还有一项功能，可以将数据备份到攻击者控制的远程服务器。

另一方面，恶意Signal Plus应用程序可以监控传入和传出的消息，将其传输到远程服务器以进行未经授权的访问。为了显得合法，我们为这两个应用程序创建了专门的网站，并提供了从Google Play商店直接安装的链接。

这些应用程序是由一个名为GREF的APT黑客组织创建的。GREF，也称为APT15、Ke3chang、Mirage、Vixen Panda和Playful Dragon。

早在2018年3月，这些威胁行为者还被发现以英国政府承包商为目标，窃取军事技术机密。GREF知道BadBazaar恶意软件，在此次活动中，这些应用程序中发现的恶意代码也归因于BadBazaar恶意软件。

这并不奇怪，因为另一个APT组织Smishing Triad最近有报道称正在对美国用户进行大规模的诈骗活动。这次攻击涉及冒充领先的邮件和投递服务。

如果您无意中安装了Signal Plus Messenger或FlyGram，请将它们从手机中删除至关重要。但是，这样做时请务必小心。在卸载这些应用程序之前，请确保取消链接您的Signal和Telegram帐户，以防止进一步的数据泄露。谷歌已将这些应用程序标记为恶意应用程序，并且能够窃取个人信息。