Κακόβουλες Android εφαρμογές – κλώνοι του Telegram βρέθηκαν στο Google Play με περισσότερες από 60.000 λήψεις, μολύνοντας άτομα με spyware. Αυτό το spyware είναι σε θέση να κλέβει μηνύματα χρηστών, λίστες επαφών και άλλα σημαντικά δεδομένα. Η καμπάνια έχει λάβει την κωδική ονομασία Evil Telegram από τη ρωσική εταιρεία κυβερνοασφάλειας Kaspersky.
Φαίνεται ότι οι εφαρμογές έχουν προσαρμοστεί για χρήστες που μιλούν κινεζικά και ανήκουν στην εθνοτική μειονότητα των Ουιγούρων.
Οι εφαρμογές αυτές ανακαλύφθηκαν από την Kaspersky και αναφέρθηκαν στη Google. Παρ’ όλα αυτά, όταν οι ερευνητές δημοσίευσαν την έκθεσή τους, αρκετές κακόβουλες εφαρμογές συνέχιζαν να είναι διαθέσιμες για λήψη μέσω του Google Play.
Δείτε επίσης: iMessage: Zero-click exploit μολύνει τα iPhone με spyware
Trojanized Telegram apps
Οι εφαρμογές Telegram που παρουσιάζονται στην έκθεση της Kaspersky, προβάλλονται ως εναλλακτικές λύσεις που είναι “ταχύτερες” από την κανονική εφαρμογή.
Σύμφωνα με τους αναλυτές ασφαλείας, οι spyware εφαρμογές είναι ίδιες με το Telegram, αλλά περιέχουν επιπλέον λειτουργίες στον κώδικα που χρησιμοποιούνται για την κλοπή δεδομένων.
Συγκεκριμένα, υπάρχει ένα επιπλέον package με το όνομα “com. wsys” που αποκτά πρόσβαση στις επαφές του χρήστη, ενώ επίσης συλλέγει το όνομα χρήστη, το user ID και τον αριθμό τηλεφώνου του θύματος.
Όταν ο χρήστης λαμβάνει ένα μήνυμα στο trojanised Telegram app, το spyware στέλνει ένα αντίγραφο απευθείας στον command and control (C2) server του χειριστή στο “sg[.]telegrnm[.]org”.
Τα δεδομένα που στέλνονται στους επιτιθέμενους περιέχουν τα περιεχόμενα του μηνύματος, τον τίτλο και το ID συνομιλίας/καναλιού, καθώς και το όνομα και το ID του αποστολέα.
Δείτε επίσης: Hackers της Βόρειας Κορέας στοχεύουν ερευνητές ασφαλείας χρησιμοποιώντας zero-day bug
Το spyware παρακολουθεί επίσης για αλλαγές στο όνομα χρήστη και το ID του θύματος και για αλλαγές στη λίστα επαφών. Αν παρατηρήσει κάποια αλλαγή, θα συλλέξει τις πιο νέες πληροφορίες.
Οι κακόβουλες εφαρμογές Telegram χρησιμοποιούσαν τα package names “org.telegram.messenger.wab” και “org.telegram.messenger.wob“, ενώ η νόμιμη εφαρμογή Telegram χρησιμοποιεί το “org.telegram.messenger.web“.
Μετά την αναφορά των ερευνητών, η Google αφαίρεσε τις εφαρμογές spyware από το Google Play και μοιράστηκε την ακόλουθη δήλωση με το BleepingComputer.
“Λαμβάνουμε σοβαρά υπόψη τους ισχυρισμούς για την ασφάλεια και το απόρρητο σε εφαρμογές και εάν διαπιστώσουμε ότι μια εφαρμογή έχει παραβιάσει τις πολιτικές μας, λαμβάνουμε τα κατάλληλα μέτρα. Όλες οι εφαρμογές, που αναφέρθηκαν, έχουν αφαιρεθεί από το Google Play και οι προγραμματιστές έχουν αποκλειστεί. Οι χρήστες προστατεύονται επίσης από το Google Play Protect, το οποίο μπορεί να προειδοποιεί τους χρήστες ή να αποκλείει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά σε συσκευές Android με Google Play Services“.
Οι εγκληματίες του κυβερνοχώρου δημιουργούν συχνά εφαρμογές – κλώνους δημοφιλών apps για να παραπλανήσουν τους χρήστες και να εισχωρήσουν στις συσκευές τους. Στα τέλη του περασμένου μήνα, η ESET προειδοποίησε για δύο trojanized εφαρμογές ανταλλαγής μηνυμάτων, το Signal Plus Messenger και το FlyGram, που μιμούνταν τα Signal και Telegram αλλά υποτίθεται ότι ήταν εκδόσεις με περισσότερες δυνατότητες.
Δείτε επίσης: Mirai botnet: Νέα έκδοση μολύνει οικονομικά Android TV boxes
Οι εφαρμογές αυτές αφαιρέθηκαν τόσο από το Google Play όσο και από το Samsung Galaxy Store. Περιείχαν το κακόβουλο λογισμικό BadBazaar, το οποίο επιτρέπει στους χειριστές του (την κινεζική APT “GREF”) να κατασκοπεύουν τους στόχους τους.
Για να αποφύγετε τη μόλυνση από κάποιο malware / spyware, είναι σημαντικό να κατεβάζετε στη συσκευή σας τις γνήσιες εκδόσεις εφαρμογών και να αποφεύγετε τη λήψη εφαρμογών που μοιάζουν με τις αυθεντικές αλλά υπόσχονται βελτιωμένο απόρρητο, ταχύτητα ή άλλες δυνατότητες.
Τα Android malware / spyware είναι μια συνεχώς αναπτυσσόμενη απειλή. Καθώς τα smartphones γίνονται όλο και πιο ισχυρά, γίνονται επίσης πιο ελκυστικοί στόχοι για τους δράστες κυβερνοεγκλημάτων. Είναι σημαντικό να παραμένουμε προσεκτικοί και να ενημερωνόμαστε για τους τρόπους προστασίας των συσκευών μας.
Πηγή: www.bleepingcomputer.com
