Spyware se disfarçando de versões modificadas do Telegram foram encontrados na Google Play Store projetados para coletar informações sensíveis de dispositivos Android comprometidos.
De acordo com o pesquisador de segurança da Kaspersky, Igor Golovin, os aplicativos vêm com recursos nefastos para capturar e exfiltrar nomes, IDs de usuários, contatos, números de telefone e mensagens de chat para um servidor controlado pelo ator.
A atividade foi apelidada de Evil Telegram pela empresa russa de cibersegurança.
Os aplicativos foram baixados milhões de vezes antes de serem retirados pelo Google.
Seus detalhes são os seguintes -
電報,紙飛機-TG繁體中文版 ou 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - mais de 10 milhões de downloads
TG繁體中文版-電報,紙飛機 (org.telegram.messenger.[wab]) - mais de 50.000 downloads
电报,纸飞机-TG简体中文版 (org.telegram.messenger.[wob]) - mais de 50.000 downloads
电报,纸飞机-TG简体中文版 (org.tgcn.messenger.[wob]) - mais de 10.000 downloads
ئۇيغۇر تىلى TG - تېلېگرامما (org.telegram.messenger.[wcb]) - mais de 100 downloads
O último aplicativo da lista se traduz por "Telegram - TG Uyghur," indicando uma clara tentativa de visar a comunidade Uyghur.
Vale ressaltar que o nome do pacote associado à versão da Play Store do Telegram é "org.telegram.messenger", enquanto o nome do pacote para o arquivo APK baixado diretamente do site do Telegram é "org.telegram.messenger.web".
O uso de "wab", "wcb" e "wob" para os nomes de pacotes maliciosos, portanto, destaca a dependência do ator da ameaça em técnicas de typosquatting para se passar pelo aplicativo Telegram legítimo e passar despercebido.
"À primeira vista, estes aplicativos parecem ser clones completos do Telegram com uma interface localizada", disse a empresa.
"Tudo parece e funciona quase da mesma maneira que o autêntico.
Mas há uma pequena diferença que escapou à atenção dos moderadores do Google Play: as versões infectadas possuem um módulo adicional:"
A revelação ocorre dias após a ESET ter revelado uma campanha de malware BadBazaar direcionada ao mercado de aplicativos oficial que se aproveitava de uma versão desonesta do Telegram para acumular backups de chat.
Aplicativos similares ao Telegram e WhatsApp foram descobertos previamente pela empresa eslovaca de segurança cibernética em março de 2023, que vinham equipados com funcionalidades de clonagem para interceptar e modificar endereços de carteira nas mensagens de chat e redirecionar transferências de criptomoedas para as carteiras do invasor.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...