В магазине Google Play были обнаружены шпионские программы, маскирующиеся под модифицированные версии Telegram и предназначенные для сбора конфиденциальной информации со скомпрометированных устройств Android.
По словам исследователя Kaspersky Security Игоря Головина, приложения оснащены вредоносными функциями для захвата и эксфильтрации имен, идентификаторов пользователей, контактов, номеров телефонов и сообщений чата на сервер, контролируемый пользователем.
Российская компания по кибербезопасности назвала это действие под кодовым названием Evil Telegram.
Приложения в совокупности загружались миллионы раз, прежде чем были удалены Google. Их подробная информация приведена ниже -
- 電報,紙飛機-TG繁體中文版 или 電報,小飛機-TG繁體中文版 (орг.телеграмма.посланник.БДЖ) - 10 миллионов+ загрузок
- TG繁體文文版-電報,紙飛機 (org.telegram.messenger.wab) - более 50 000 загрузок
- яп简体报,яп简体机-ТГ简体中文文版 (org.telegram.messenger.wob) - более 50 000 загрузок
- яп简体报,яп简体机-ТГ简体中文文版 (org.tgcn.messenger.wob) - более 10 000 загрузок
- ئۇيغۇر تىلى тг - تېلېگرامما (орг.телеграмма.посланник.ДСП) - 100+ скачиваний
Стоит отметить, что название пакета, связанного с версией Telegram в Play Store, - "org.telegram.messenger", тогда как название пакета для APK-файла, загружаемого непосредственно с веб-сайта Telegram, - "org.telegram.messenger.web".
Таким образом, использование "wab", "wcb" и "wob" в названиях вредоносных пакетов подчеркивает зависимость злоумышленника от методов опечатывания, чтобы выдать себя за законное приложение Telegram и скрыться от внимания.
"На первый взгляд эти приложения кажутся полноценными клонами Telegram с локализованным интерфейсом", - заявили в компании. "Все выглядит и работает почти так же, как настоящее. [Но] есть небольшое отличие, которое ускользнуло от внимания модераторов Google Play: зараженные версии содержат дополнительный модуль:"
Раскрытие произошло через несколько дней после того, как ESET раскрыла кампанию вредоносного ПО BadBazaar, нацеленную на official app Marketplace, которая использовала поддельную версию Telegram для создания резервных копий чатов.
Аналогичные приложения-подражатели Telegram и WhatsApp были обнаружены словацкой фирмой по кибербезопасности ранее, в марте 2023 года, которые были оснащены функцией clipper для перехвата и изменения адресов кошельков в сообщениях чата и перенаправления криптовалютных переводов на кошельки, принадлежащие злоумышленнику.
