Понад 60 000 користувачів опинились під прицілом шпигунів через фейкові додатки Telegram для Android

Спеціалісти з кібербезпеки розповідають: у Google Play зафіксовано декілька шкідливих клонів Telegram для Android. На цей час їх інсталювали вже понад 60 000 разів. Шкідливе ПЗ заражає гаджети користувачів, викрадає особисте листування, списки контактів тощо. Про це пише BleepingComputer.

Додатки призначені здебільшого для китайськомовних користувачів та уйгурської етнічної меншини. Це вказує на можливий зв’язок застосунків з добре задокументованими державними механізмами моніторингу та репресій нацменшин у Китаї.

Аналітики з безпеки повідомляють, що додатки нібито такі ж самі, як і оригінальний Telegram, але містять додаткові функції у коді для крадіжки даних.

Зокрема, є додатковий пакет під назвою «com. wsys», який отримує доступ до контактів користувача, а також збирає ПІБ, біометричний ідентифікатор та номер телефону жертви.

Коли користувач отримує повідомлення через троянський додаток, шпигунська програма надсилає його копію безпосередньо на командний сервер оператора (C2) за адресою «sg[.]telegrnm[.]org».

Викрадені дані, які шифруються перед передачею, містять текст повідомлення, назву чату/каналу та ім'я відправника.

Шпигунська програма також відстежує у зараженому додатку зміни імені користувача та ідентифікатора жертви, а також зміни у списку контактів. Якщо у чатах відбуваються суттєві зміни, зловмисне ПЗ зафіксує і це також.

Слід зазначити, що зловмисне ПЗ Evil Telegram використовує назви пакетів «org.telegram.messenger.wab» та «org.telegram.messenger.wob», в той час, як легальний додаток Telegram має назву пакета «org.telegram.messenger.web».

Після розголосу Google видалила шкідливі додатки для Android з Google Play й оприлюднила заяву:

«Ми серйозно ставимося до претензій щодо безпеки та конфіденційності додатків, і якщо ми виявляємо, що додаток порушив нашу політику, ми вживаємо відповідних заходів. Всі програми, про які повідомлялося, були видалені з Google Play, а розробники були заблоковані. Користувачі також захищені функцією Google Play Захист, яка може попереджати користувачів або блокувати програми, про які відомо, що вони демонструють зловмисну поведінку на пристроях Android за допомогою Служб Google Play».

Нагадаємо — на початку вересня у Google Play Market і магазині Samsung виявили фейкові програми, що маскуються під популярні месенджери Signal і Telegram. Шкідливі додатки можуть перехоплювати повідомлення та іншу конфіденційну інформацію з облікових записів користувачів.