伪装成Telegram修改版本的间谍软件已经在Google Play商店中被发现,该商店旨在从被入侵的Android设备中获取敏感信息。
据安全研究员Igor Golovin称,这些应用程序带有邪恶的功能,可以捕获和泄露姓名、用户ID、联系人、电话号码和聊天信息到演员控制的服务器。
俄罗斯网络安全公司将这一活动命名为“邪恶电报”。
在被谷歌下架之前,这些应用程序已经被下载了数百万次。他们的详细资料如下:
电报,纸飞机-TG中文版or电报,小型飞机-TG中文版(
org.telegram.messenger.wab)-10 million+downloads1- 中文版-电报,纸飞机(
org.telegram.messenger.wab)-50,000+downloads2- 电报,纸飞机-TG简体中文版(
org.telegram.messenger.wob)-50,000+downloads3- 电报,纸飞机-TG简体中文版(org.tgcn.messenger.wob)-10,000+downloads
4- ئۇيغۇرتىلىTG-تېلېگرامما(org.telegram.messenger.wcb)-100+downloads
名单上的最后一个应用翻译过来是”Telegram-TG Uyghur”,这明显是针对维吾尔族社区的。
值得注意的是,与Play Store版本的Telegram相关联的软件包名称是“org.telegram.messenger”,而直接从Telegram网站下载的APK文件的软件包名称是“
org.telegram.messenger.web”。因此,使用“wab”、“wcb”和“wob”作为恶意软件包名称,突出了威胁行为者对typosquatting技术的依赖,以便冒充合法的Telegram应用程序并在雷达下溜走。
该公司表示:“乍一看,这些应用程序似乎完全是Telegram的克隆版,只是界面进行了本地化。”“一切看起来和工作几乎一样的真实的东西。【但是】有一个小的区别,逃脱了谷歌播放主持人的注意:受感染的版本房子一个额外的模块:”
几天前,ESET披露了一场针对官方应用市场的BadBazaar恶意软件运动,利用恶意版本的Telegram来积累聊天备份。
2023年3月,斯洛伐克网络安全公司发现了类似的山寨Telegram和WhatsApp应用程序,它们配备了裁剪器功能,可以拦截和修改聊天消息中的钱包地址,并将加密货币转移重定向到攻击者拥有的钱包。