Diversi cloni malevoli di Telegram per Android su Google Play sono stati installati oltre 60.000 volte, infettando le persone con spyware che rubano i messaggi degli utenti, gli elenchi dei contatti e altri dati.
Le app sembrano essere state create su misura per gli utenti di lingua cinese e per la minoranza etnica uigura, suggerendo possibili legami con i ben documentati meccanismi di monitoraggio.
Le app sono state scoperte da Kaspersky, che le ha segnalate a Google. Tuttavia, al momento della pubblicazione del rapporto da parte dei ricercatori, diverse app dannose erano ancora disponibili per il download attraverso Google Play.
Telegram trojan
Le app di Telegram presentate nel report di Kaspersky sono promosse come alternative “più veloci” all’app normale.
Gli esempi mostrati nel report hanno superato le 60.000 installazioni, quindi la campagna ha avuto un moderato successo nel raggiungere un pool di potenziali bersagli.
Gli analisti della sicurezza riferiscono che le app sono apparentemente uguali a Telegram originale, ma contengono funzioni aggiuntive nel codice per rubare i dati.
In particolare, c’è un pacchetto aggiuntivo chiamato “com. wsys” che accede ai contatti dell’utente e raccoglie anche il nome utente, l’ID utente e il numero di telefono della vittima.
Quando l’utente riceve un messaggio attraverso l’app troianizzata, lo spyware ne invia una copia direttamente al server di comando e controllo (C2) dell’operatore all’indirizzo “sg[.]telegrnm[.]org”.
I dati esfiltrati, che vengono crittografati prima della trasmissione, contengono il contenuto del messaggio, il titolo e l’ID della chat/canale e il nome e l’ID del mittente.
L’applicazione spyware monitora anche l’applicazione infetta per verificare se il nome utente e l’ID della vittima vengono modificati e se cambia qualcosa, raccoglie le informazioni più aggiornate.
Va notato che le app malevole di Telegram hanno utilizzato i nomi dei pacchetti “org.telegram.messenger.wab” e “org.telegram.messenger.wob”, mentre l’app legittima di Telegram ha un nome di pacchetto “org.telegram.messenger.web”.
Google ha poi rimosso queste applicazioni Android da Google Play e ha condiviso la seguente dichiarazione:
Il Commento di Google
I pericoli delle app di messaggistica moddate
Alla fine del mese scorso, ESET ha lanciato un allarme su due app di messaggistica troianizzate, Signal Plus Messenger e FlyGram, promosse come versioni più ricche di funzionalità delle popolari app open-source Signal e Telegram.
Ora rimosse da Google Play e dal Samsung Galaxy Store, queste app contenevano il malware BadBazaar che permetteva ai loro operatori, l’APT cinese “GREF”, di spiare i loro obiettivi. Per proteggerti il più possibile consigliamo sempre di utilizzare una VPN e un buon antivirus per Android.
All’inizio di quest’anno, ESET ha scoperto due dozzine di siti clone di Telegram e WhatsApp che distribuivano versioni troianizzate delle popolari app di messaggistica, anch’esse rivolte a utenti di lingua cinese.
Si raccomanda agli utenti di utilizzare le versioni autentiche delle app di messaggistica e di evitare di scaricare le app biforcute che promettono una maggiore privacy, velocità o altre funzionalità.
Google non è stata in grado di bloccare questi caricamenti dannosi soprattutto perché gli editori introducono il codice dannoso tramite aggiornamenti post-screening e post-installazione.
A luglio, il gigante tecnologico ha presentato una strategia per implementare un sistema di verifica delle aziende sul Google Play Store a partire dal 31 agosto 2023, con l’obiettivo di migliorare la sicurezza degli utenti Android.
