Cyberbeveiliger Eset waarschuwt voor Chinese spionage-apps die zich vermommen als de versleutelde messaging-apps Signal en Telegram. Beide Android-apps, genaamd Signal Plus Messenger en FlyGram, zijn inmiddels verwijderd van Google Play. De aanvallers kunnen de Signal-communicatie van een slachtoffer 'afluisteren' door diens gecompromitteerde apparaat in het geheim automatisch te koppelen aan hun eigen Signal-apparaten.
Eset heeft de stellige indruk dat Chinese staatshackers achter de hack zitten omdat de schadelijke code tot de BadBazaar-malwarefamilie behoort. Een aan China gelieerde hackersgroep genaamd Gref heeft deze malware eerder gebruikt om Oeigoeren te bespioneren. De groep kan uit een apparaat informatie, lijsten met contactpersonen en gesprekslogs halen zonder dat de gebruikers iets merken.
Na het opstarten van de app moet de gebruiker inloggen bij Signal Plus Messenger via de legitieme Signal-functionaliteit, net als bij de officiële Signal-app voor Android. Eenmaal ingelogd begint Signal Plus Messenger te communiceren met zijn command and control (c&c)-server. Signal Plus Messenger kan Signal-berichten bespioneren door misbruik te maken van de functie ‘apparaat koppelen’. Het doet dit door automatisch het gecompromitteerde apparaat te verbinden met het Signal-apparaat van de aanvaller.