Несколько вредоносных клонов Telegram для Android в Google Play были установлены более 60 тыс. раз и заразили людей шпионским ПО, похищающим сообщения, списки контактов и другие данные.
Судя по всему, приложения ориентированы на пользователей, говорящих на китайском языке, и представителей уйгурского этнического меньшинства, что указывает на возможную связь с хорошо задокументированными механизмами государственного контроля и репрессий.
Приложения были обнаружены Касперским, который сообщил о них в Google. Однако на момент публикации исследователями своего отчета несколько вредоносных приложений все еще были доступны для загрузки через Google Play.
Троянизированный Telegram
Приложения Telegram, представленные в отчете Касперского, рекламируются как "более быстрые" альтернативы обычному приложению.
Приведенные в отчете примеры имеют более 60 000 установок, что говорит об умеренном успехе кампании по охвату потенциальных целей.
Аналитики по безопасности сообщают, что эти приложения внешне ничем не отличаются от оригинального Telegram, но содержат в коде дополнительные функции для кражи данных.
В частности, имеется дополнительный пакет с именем "com. wsys", который получает доступ к контактам пользователя, а также собирает имя пользователя, идентификатор пользователя и номер телефона жертвы.
Когда пользователь получает сообщение через троянское приложение, программа-шпион отправляет его копию на командно-контрольный сервер оператора по адресу "sg[.]telegrnm[.]org".
Передаваемые данные, зашифрованные перед передачей, содержат содержание сообщения, название и идентификатор чата/канала, имя и идентификатор отправителя.
Кроме того, программа-шпион отслеживает изменения в имени пользователя и ID жертвы, а также изменения в списке контактов и, если что-то изменилось, собирает самую свежую информацию.
Следует отметить, что вредоносные приложения Evil Telegram использовали имена пакетов 'org.telegram.messenger.wab' и 'org.telegram.messenger.wob', в то время как легитимное приложение Telegram имело имя пакета 'org.telegram.messenger.web'.
После этого компания Google удалила эти приложения для Android из Google Play и поделилась с Герман Геншин следующим заявлением.
"Мы серьезно относимся к претензиям к приложениям по поводу безопасности и конфиденциальности, и если обнаруживаем, что приложение нарушает наши правила, то принимаем соответствующие меры. Все приложения, о которых сообщалось, были удалены из Google Play, а их разработчики заблокированы. Пользователи также защищены функцией Google Play Protect, которая может предупреждать пользователей или блокировать приложения, известные своим вредоносным поведением, на устройствах Android с сервисами Google Play". - Google.
Опасности модифицированных приложений для обмена сообщениями
В конце прошлого месяца компания ESET предупредила о двух троянских приложениях для обмена сообщениями - Signal Plus Messenger и FlyGram, которые рекламировались как более функциональные версии популярных открытых приложений Signal и Telegram.
Эти приложения, удаленные из Google Play и Samsung Galaxy Store, содержали вредоносную программу BadBazaar, которая позволяла их операторам, китайской группировке APT "GREF", шпионить за своими клиентами.
Ранее в этом году компания ESET обнаружила два десятка сайтов-клонов Telegram и WhatsApp, распространяющих троянские версии популярных приложений для обмена сообщениями, также ориентированные на китайскоговорящих пользователей.
Пользователям рекомендуется использовать подлинные версии приложений для обмена сообщениями и избегать загрузки "форков", обещающих повышенную конфиденциальность, скорость и другие возможности.
Google не удается остановить эти вредоносные загрузки в основном потому, что издатели внедряют вредоносный код через обновления после установки.
В июле технологический гигант обнародовал стратегию внедрения системы проверки бизнеса в магазине Google Play с 31 августа 2023 года, направленную на повышение безопасности пользователей Android.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
