Se han instalado varias versiones maliciosas de Telegram para Android en Google Play más de 60.000 veces, infectando a las personas con software espía que roba mensajes de usuarios, listas de contactos y otros datos.
Las aplicaciones parecen estar diseñadas específicamente para usuarios de habla china y la minoría étnica uigur, lo que sugiere posibles vínculos con China. Bien documentada Mecanismos estatales de vigilancia y represión.
Las aplicaciones fueron descubiertas por Kaspersky, quien las informó a Google. Sin embargo, en el momento en que los investigadores publicaron su informe, muchas de las aplicaciones maliciosas todavía estaban disponibles para descargar a través de Google Play.
Telegrama organizado
Aplicaciones de Telegram introducidas en Informe Kaspersky Se promocionan como alternativas «más rápidas» a la aplicación habitual.
Los ejemplos que se muestran en el informe tuvieron más de 60 000 instalaciones, por lo que la campaña tuvo un éxito moderado a la hora de llegar a una variedad de objetivos potenciales.
Los analistas de seguridad informaron que las aplicaciones son aparentemente las mismas que la aplicación Telegram original, pero contienen funciones adicionales en el código para robar datos.
En concreto, existe un paquete adicional llamado “com.wsys” que accede a los contactos del usuario y también recopila el nombre de usuario, ID de usuario y número de teléfono de la víctima.
Cuando el usuario recibe un mensaje a través de la aplicación infectada con troyano, el software espía envía una copia directamente al servidor de comando y control (C2) del operador en «sg».[.]telegrama[.]institución»
Los datos filtrados, que se cifran antes de la transmisión, contienen el contenido del mensaje, la dirección y el ID del chat/canal, y el nombre y el ID del remitente.
La aplicación de software espía también monitorea la aplicación infectada en busca de cambios en el nombre de usuario e identificación de la víctima y cambios en la lista de contactos, y si algo cambia, recopila la información más reciente.
Cabe señalar que las aplicaciones maliciosas de Evil Telegram utilizaron los nombres de paquete “org.telegram.messenger.wab” y “org.telegram.messenger.wob”, mientras que la aplicación legítima de Telegram tiene el nombre de paquete “org.telegram.messenger”. . «Web.»
Desde entonces, Google eliminó estas aplicaciones de Android de Google Play y compartió la siguiente declaración con BleepingComputer.
«Nos tomamos en serio los reclamos de seguridad y privacidad contra las aplicaciones, y si descubrimos que una aplicación ha violado nuestras políticas, tomamos las medidas apropiadas. Todas las aplicaciones reportadas han sido eliminadas de Google Play y los desarrolladores han sido prohibidos. Los usuarios también están protegidos por Google Play Protect, que puede advertir a los usuarios o bloquear aplicaciones que se sabe que muestran comportamientos maliciosos en dispositivos Android con Google Play Services”. – Google.
Riesgos de las aplicaciones de mensajería modificadas
A finales del mes pasado, ESET advirtió sobre dos aplicaciones de mensajería infectadas con troyanos, Signal Plus Messenger y FlyGram, que fueron promocionadas como versiones con más funciones de las populares aplicaciones de código abierto Signal y Telegram.
Estas aplicaciones han sido eliminadas de Google Play y Samsung Galaxy Store y contenían el malware BadBazaar que permitía a sus operadores, la APT china ‘GREF’, espiar a sus objetivos.
A principios de este año, ESET descubrió veinte Telegrama y WhatsApp Clonar sitios que distribuyen versiones troyanas de aplicaciones de mensajería populares, dirigidos también a usuarios de habla china.
Se recomienda a los usuarios que utilicen versiones originales de aplicaciones de mensajería y eviten descargar aplicaciones bifurcadas que prometen mayor privacidad, velocidad u otras funciones.
Google no pudo detener estas cargas maliciosas principalmente porque los editores introdujeron código malicioso a través de actualizaciones posteriores al escaneo y a la instalación.
En julio, el gigante tecnológico reveló una estrategia para implementar un sistema de verificación empresarial en Google Play Store a partir del 31 de agosto de 2023, con el objetivo de mejorar la seguridad de los usuarios de Android.
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».