Компания ESET — лидер в области информационной безопасности — предупреждает о распространении поддельной версии легитимного приложения Telegram. Вредоносноя программа владеет различными шпионскими функциями, такими как запись телефонных звонков, сбор SMS-сообщений, списков журналов вызовов и контактов.
В случае получения доступа вредоносного приложения к уведомлениям и сервисам доступности, злоумышленники могут просматривать входящие уведомления 17 программ, среди которых Viber, Skype, Gmail, Messenger и Tinder, а также перехватывать сообщения чатов из других приложений.
Для распространения поддельного приложения используется фальшивый сайт, маскирующийся под веб-ресурс Shagle. При этом вредоносная программа никогда не была доступна в официальном магазине Google Play.
Рис.1. Легитимный сайт и его вредоносная копия соответственно.
Вредоносный код, его функционал, названия классов и сертификат, который используется для подписи APK-файла, идентичны предыдущей активности группы киберпреступников StrongPity, что подтверждает ее связь с этим поддельным приложением. Анализ кода показал, что бэкдор является модульным и дополнительные бинарные модули загружаются с командного сервера (C&C). Это означает, что количество и тип модулей, которые используются, можно изменить в любое время по запросу злоумышленников.
«В ходе исследования проанализированная версия вредоносного программного обеспечения, доступная на фальшивом веб-сайте, больше не была активной, поэтому ее невозможно было установить и запустить бекдор. Но это может измениться в любой момент, если киберпреступники решат возобновить вредоносную программу», — говорит Лукаш Штефанко, исследователь компании ESET.
Поддельная версия Telegram использует то же название пакета, что и легитимное приложение. Названия пакетов должны быть уникальными идентификаторами для каждой программы Android и для каждого устройства. Поэтому, если официальное приложение Telegram уже установлено на устройстве потенциальной жертвы, то поддельную версию установить невозможно.
«Это может означать, что киберпреступники сначала заставляют потенциальных жертв удалить Telegram со своих устройств, если он установлен, или злоумышленники сосредоточены на странах, где Telegram редко используется для общения», — добавляет исследователь ESET.
Для избежания попадания подобных угроз на устройство специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности загружать приложения только из официального магазина Google Play, контролировать предоставление разрешений программам, своевременно обновлять приложения и операционную систему, а также использовать решение для защиты, которое способно обнаружить и предупредить пользователя об опасности.