Οι εφαρμογές Android «Evil Telegram» στο Google Play μόλυναν 60K με λογισμικό κατασκοπείας
Αρκετοί κακόβουλοι κλώνοι Telegram για Android στο Google Play εγκαταστάθηκαν περισσότερες από 60.000 φορές, μολύνοντας άτομα με λογισμικό υποκλοπής
spyware
που κλέβει μηνύματα χρηστών, λίστες επαφών και άλλα δεδομένα.
Οι εφαρμογές φαίνεται να είναι προσαρμοσμένες για χρήστες που μιλούν κινεζικά και την εθνική μειονότητα των Ουιγούρων, υποδηλώνοντας πιθανούς δεσμούς με την
καλά τεκμηριωμένο
κρατικούς μηχανισμούς παρακολούθησης και καταστολής.
Οι εφαρμογές ανακαλύφθηκαν από την Kaspersky, η οποία τις ανέφερε στην Google. Ωστόσο, τη στιγμή που οι ερευνητές δημοσίευσαν την έκθεσή τους, αρκετές κακόβουλες εφαρμογές εξακολουθούσαν να είναι διαθέσιμες για λήψη μέσω του Google Play.
Torjanized Telegram
Οι εφαρμογές Telegram που παρουσιάζονται στο
Η έκθεση της Kaspersky
προωθούνται ως πιο «γρήγορες» εναλλακτικές στην κανονική εφαρμογή.
Τα παραδείγματα που εμφανίζονται στην αναφορά έχουν περισσότερες από 60.000 εγκαταστάσεις, επομένως η καμπάνια έχει μέτρια επιτυχία στην επίτευξη μιας ομάδας πιθανών στόχων.
Μία από τις κακόβουλες εφαρμογές στο Google Play
(Kaspersky)
Οι αναλυτές ασφαλείας αναφέρουν ότι οι εφαρμογές είναι φαινομενικά ίδιες με το αρχικό Telegram, αλλά περιέχουν πρόσθετες λειτουργίες στον κώδικα για την κλοπή δεδομένων.
Συγκεκριμένα, υπάρχει ένα επιπλέον πακέτο με το όνομα «com. wsys’ που έχει πρόσβαση στις επαφές του χρήστη και συλλέγει επίσης το όνομα χρήστη, το αναγνωριστικό χρήστη και τον αριθμό τηλεφώνου του θύματος.
Όταν ο χρήστης λαμβάνει ένα μήνυμα μέσω της trojanized εφαρμογής, το spyware στέλνει ένα αντίγραφο απευθείας στον διακομιστή εντολών και ελέγχου (C2) του χειριστή στο “sg[.]telegrnm[.]org”
Υποκλοπή εισερχόμενου μηνύματος
(Kaspersky)
Τα δεδομένα που έχουν εξαχθεί, τα οποία είναι
κρυπτο
γραφημένα πριν από τη μετάδοση, περιέχουν τα περιεχόμενα του μηνύματος, τον τίτλο και το αναγνωριστικό συνομιλίας/καναλιού, καθώς και το όνομα και το αναγνωριστικό του αποστολέα.
Η εφαρμογή spyware παρακολουθεί επίσης τη μολυσμένη εφαρμογή για αλλαγές στο όνομα χρήστη και το αναγνωριστικό του θύματος και αλλαγές στη λίστα επαφών και, εάν αλλάξει κάτι, συλλέγει τις πιο ενημερωμένες πληροφορίες.
Κλέβοντας τα στοιχεία των φίλων του θύματος
(Kaspersky)
Θα πρέπει να σημειωθεί ότι οι κακόβουλες εφαρμογές Evil Telegram χρησιμοποιούσαν τα ονόματα πακέτων «org.telegram.
messenger
.wab» και «org.telegram.messenger.wob», ενώ η νόμιμη εφαρμογή Telegram έχει όνομα πακέτου «org.telegram.messenger .ιστός.’
Έκτοτε, η Google έχει αφαιρέσει αυτές τις εφαρμογές Android από το Google Play και μοιράστηκε την ακόλουθη δήλωση με το BleepingComputer.
“Λαμβάνουμε σοβαρά υπόψη τις αξιώσεις ασφαλείας και απορρήτου κατά εφαρμογών και εάν διαπιστώσουμε ότι μια εφαρμογή έχει παραβιάσει τις πολιτικές μας, λαμβάνουμε τα κατάλληλα μέτρα. Όλες οι εφαρμογές που αναφέρθηκαν έχουν αφαιρεθεί από το Google Play και οι
προγραμματιστές
έχουν αποκλειστεί. Οι χρήστες προστατεύονται επίσης από το Google Play Protect, το οποίο μπορεί να προειδοποιεί τους χρήστες ή να αποκλείει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά σε συσκευές Android με τις Υπηρεσίες Google Play.” – Google.
Κίνδυνοι από τροποποιημένες εφαρμογές ανταλλαγής μηνυμάτων
Στα τέλη του περασμένου μήνα, η ESET προειδοποίησε για δύο trojanized εφαρμογές ανταλλαγής μηνυμάτων, το Signal Plus Messenger και το FlyGram, που προωθούνται ως πιο πλούσιες σε δυνατότητες εκδόσεις των δημοφιλών εφαρμογών ανοιχτού κώδικα Signal και Telegram.
Τώρα αφαιρέθηκαν από το Google Play και το Samsung Galaxy Store, αυτές οι εφαρμογές περιείχαν το κακόβουλο λογισμικό BadBazaar που επέτρεπε στους χειριστές τους, την κινεζική APT «GREF», να κατασκοπεύουν τους στόχους τους.
Νωρίτερα φέτος, η ESET ανακάλυψε δύο δωδεκάδες
Telegram και WhatsApp
κλωνοποιήστε ιστότοπους που διανέμουν τρωανισμένες εκδόσεις των δημοφιλών εφαρμογών ανταλλαγής μηνυμάτων, στοχεύοντας επίσης χρήστες που μιλούν κινεζικά.
Συνιστάται στους χρήστες να χρησιμοποιούν τις γνήσιες εκδόσεις των εφαρμογών ανταλλαγής μηνυμάτων και να αποφεύγουν τη λήψη εφαρμογών διχαλωτών που υπόσχονται βελτιωμένο απόρρητο, ταχύτητα ή άλλες δυνατότητες.
Η Google δεν μπόρεσε να σταματήσει αυτές τις κακόβουλες μεταφορτώσεις κυρίως επειδή οι εκδότες εισάγουν κακόβουλο κώδικα μέσω ενημερώσεων μετά τον έλεγχο και μετά την εγκατάσταση.
Τον Ιούλιο, ο τεχνολογικός γίγαντας αποκάλυψε μια στρατηγική για την εφαρμογή ενός συστήματος επαλήθευσης επιχείρησης στο κατάστημα Google Play από τις 31 Αυγούστου 2023, με στόχο να ενισχύσει την ασφάλεια για τους χρήστες Android.