Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής ανταλλαγής μηνυμάτων Telegram στο Android, η οποία βρέθηκε να είναι κακόβουλη και ικανή να κλέψει δεδομένα.
Το κακόβουλο λογισμικό μέσα στην κακόβουλη εφαρμογή μπορεί να εγγράψει το θύμα σε διάφορες συνδρομές επί πληρωμή, να πραγματοποιήσει αγορές εντός της εφαρμογής και να κλέψει τα στοιχεία σύνδεσης, σύμφωνα με την ομάδα έρευνας για κινητά της εταιρείας κυβερνοασφάλειας Check Point.
Η κακόβουλη εφαρμογή εντοπίστηκε και μπλοκαρίστηκε από την Harmony Mobile. Αν και φαινόταν αθώα, αυτή η τροποποιημένη έκδοση ήταν ενσωματωμένη με κακόβουλο κώδικα που συνδέεται με το Trojan Triada.
“Αυτό το Triada trojan, το οποίο εντοπίστηκε για πρώτη φορά το 2016, είναι ένα modular backdoor για Android που παρέχει δικαιώματα διαχειριστή για λήψη άλλου κακόβουλου λογισμικού”, ανέφερε η έκθεση.
Οι τροποποιημένες εκδόσεις των εφαρμογών για κινητά μπορεί να προσφέρουν πρόσθετα χαρακτηριστικά και προσαρμογές, μειωμένες τιμές ή να είναι διαθέσιμες σε μεγαλύτερο εύρος χωρών σε σύγκριση με την αρχική τους εφαρμογή.
Η προσφορά τους μπορεί να είναι αρκετά ελκυστική ώστε να δελεάσει αφελείς χρήστες να τις εγκαταστήσουν μέσω ανεπίσημων εξωτερικών καταστημάτων εφαρμογών.
“Ο κίνδυνος από την εγκατάσταση τροποποιημένων εκδόσεων προέρχεται από το γεγονός ότι ο χρήστης είναι αδύνατον να γνωρίζει ποιες αλλαγές έχουν γίνει στον κώδικα της εφαρμογής. Για να είμαστε πιο ακριβείς, είναι άγνωστο ποιος κώδικας προστέθηκε και αν έχει κακόβουλη πρόθεση”, σημειώνει η ομάδα.
Δείτε επίσης: Αύξηση της συχνότητας επιθέσεων ransomware χωρίς κρυπτογράφηση τον τελευταίο χρόνο
Το κακόβουλο λογισμικό μεταμφιέζεται σε Telegram Messenger έκδοση 9.2.1.
Έχει το ίδιο όνομα πακέτου (org.telegram.messenger) και το ίδιο εικονίδιο με την αρχική εφαρμογή Telegram.
Κατά την εκκίνηση, ο χρήστης μεταφέρεται στην οθόνη ελέγχου ταυτότητας του Telegram και καλείται να εισάγει τον αριθμό τηλεφώνου της συσκευής του και να δώσει στην εφαρμογή την άδεια πρόσβασης στο τηλέφωνό του.
Το κακόβουλο λογισμικό συλλέγει πληροφορίες για τη συσκευή, δημιουργεί ένα κανάλι επικοινωνίας, κατεβάζει ένα αρχείο ρυθμίσεων και περιμένει να λάβει το ωφέλιμο φορτίο από τον remote server.
Οι κακόβουλες ικανότητές του περιλαμβάνουν την εγγραφή του χρήστη σε διάφορες συνδρομές επί πληρωμή, την πραγματοποίηση αγορών εντός της εφαρμογής χρησιμοποιώντας τα SMS και τον αριθμό τηλεφώνου του χρήστη, την προβολή διαφημίσεων (συμπεριλαμβανομένων αόρατων διαφημίσεων που εκτελούνται στο παρασκήνιο) και την κλοπή login credentials, καθώς και άλλων πληροφοριών χρήστη και συσκευής.
Δείτε επίσης: Επίθεση ransomware πλήττει σχολεία του Λιβάνου
“Κατεβάζετε πάντα τις εφαρμογές σας από αξιόπιστες πηγές, είτε πρόκειται για επίσημες ιστοσελίδες είτε για επίσημα καταστήματα και αποθετήρια εφαρμογών. Επαληθεύστε ποιος είναι ο συγγραφέας και δημιουργός της εφαρμογής πριν τη λήψη. Μπορείτε να διαβάσετε σχόλια και αντιδράσεις προηγούμενων χρηστών πριν από τη λήψη”, δήλωσε η ομάδα.
Πηγή πληροφοριών: siasat.com
