O Telegram é um dos mensageiros mais populares no mundo inteiro. O aplicativo conta com vários clones que podem ser um risco aos usuários. Vários clones maliciosos do Telegram para Android no Google Play foram instalados mais de 60.000 vezes, infectando pessoas com spyware que rouba mensagens de usuários, listas de contatos e outros dados.
Aplicativos clones do Telegram infectam dispositivos com spyware
Os aplicativos parecem ser adaptadas aos utilizadores de língua chinesa e à minoria étnica uigure, sugerindo possíveis ligações aos bem documentados mecanismos de monitorização e repressão do Estado. Os aplicativos foram descobertos pela Kaspersky, que os reportou ao Google. No entanto, no momento em que os investigadores publicaram o seu relatório, várias aplicações maliciosas ainda estavam disponíveis para download através do Google Play.
Os aplicativos maliciosos clones do Telegram apresentados no relatório da Kaspersky são promovidos como alternativas “mais rápidas” ao aplicativo normal. Os exemplos mostrados no relatório têm mais de 60.000 instalações, portanto a campanha tem sucesso moderado em alcançar um conjunto de alvos potenciais.
Os analistas de segurança relatam que os aplicativos são aparentemente iguais ao Telegram original, mas contêm funções adicionais no código para roubar dados. Especificamente, há um pacote extra chamado ‘com. wsys’ que acessa os contatos do usuário e também coleta o nome de usuário, ID do usuário e número de telefone da vítima.
Quando o usuário recebe uma mensagem por meio do aplicativo trojanizado, o spyware envia uma cópia diretamente para o servidor de comando e controle (C2) da operadora em “sg[.]telegrnm[.]org”. Os dados exfiltrados, que são criptografados antes da transmissão, contêm o conteúdo da mensagem, o título e ID do chat/canal e o nome e ID do remetente.
O aplicativo spyware também monitora o aplicativo infectado em busca de alterações no nome de usuário e ID da vítima e na lista de contatos e, se alguma coisa mudar, coleta as informações mais atualizadas.
Deve-se observar que os aplicativos maliciosos do Telegram usaram os nomes de pacote ‘org.telegram.messenger.wab’ e ‘org.telegram.messenger.wob’, enquanto o aplicativo Telegram legítimo tem um nome de pacote ‘org.telegram.messenger .rede.’ Desde então, o Google retirou esses aplicativos Android do Google Play e compartilhou a seguinte declaração com o BleepingComputer.
Levamos a sério as reivindicações de segurança e privacidade contra aplicativos e, se descobrirmos que um aplicativo violou nossas políticas, tomamos as medidas apropriadas. Todos os aplicativos relatados foram removidos do Google Play e os desenvolvedores foram banidos. Os usuários também estão protegidos pelo Google Play Protect, que pode alertar os usuários ou bloquear aplicativos conhecidos por exibirem comportamento malicioso em dispositivos Android com o Google Play Services.
Google
Recomendações
Recomenda-se que os usuários usem versões originais de aplicativos de mensagens e evitem baixar aplicativos bifurcados que prometem maior privacidade, velocidade ou outros recursos.
O Google não conseguiu impedir esses uploads maliciosos principalmente porque os editores introduzem códigos maliciosos por meio de atualizações pós-triagem e pós-instalação.