Підроблений Telegram шпигує за користувачами Android

0
757 views
Підроблений Telegram шпигує за користувачами Android
Легітимний сайт та його шкідлива копія відповідно

Компанія ESET попереджає про поширення підробленої версії легітимного додатка Telegram. Шкідлива програма має різні шпигунські функції, такі як запис телефонних дзвінків, збір SMS-повідомлень, списків журналів викликів та контактів.

Підроблений Telegram шпигує за користувачами Android
Легітимний сайт та його шкідлива копія відповідно

У випадку отримання доступу шкідливого додатка до сповіщень та сервісів доступності, зловмисники можуть переглядати вхідні сповіщення 17 програм, серед яких Viber, Skype, Gmail, Messenger та Tinder, а також перехоплювати повідомлення чатів з інших додатків.

Для поширення підробленого додатка використовується фальшивий сайт, який маскується під вебресурс Shagle. При цьому шкідлива програма ніколи не була доступна в офіційному магазині Google Play.

Шкідливий код, його функціонал, назви класів та сертифікат, який використовується для підпису APK-файлу, ідентичні попередній активності групи кіберзлочинців StrongPity, що підтверджує її зв’язок із цим підробленим додатком. Аналіз коду показав, що бекдор є модульним та додаткові бінарні модулі завантажуються з командного сервера (C&C). Це означає, що кількість та тип модулів, які використовуються, можна змінити в будь-який час за запитом зловмисників.

«Під час дослідження проаналізована версія шкідливого програмного забезпечення, доступна на фальшивому вебсайті, більше не була активною, тому її неможливо було встановити та запустити бекдор. Але це може змінитися в будь-який момент, якщо кіберзлочинці вирішать відновити шкідливу програму», — коментує Лукаш Штефанко, дослідник компанії ESET.

Підроблена версія Telegram використовує ту саму назву пакета, що й легітимний додаток. Назви пакетів мають бути унікальними ідентифікаторами для кожної програми Android та для кожного пристрою. Тому якщо офіційний додаток Telegram вже встановлено на пристрої потенційної жертви, то підроблену версію встановити неможливо.

«Це може означати, що кіберзлочинці спочатку змушують потенційних жертв видалити Telegram зі своїх пристроїв, якщо він встановлений, або зловмисники зосереджені на країнах, де Telegram рідко використовується для спілкування», — додає дослідник ESET.

Для уникнення потрапляння подібних загроз на пристрій спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема завантажувати додатки лише з офіційного магазину Google Play, контролювати надання дозволів програмам, вчасно оновлювати додатки та операційну систему, а також використовувати рішення для захисту, яке здатне виявити та попередити користувача про небезпеку.