Ques/Help/Req В Google Play нашли несколько вредоносных модов Telegram

[XakeR]

Специалисты «Лаборатории Касперского» нашли в магазине Google Play шпионское ПО, маскирующееся под модифицированные версии Telegram. Малварь предназначалась для сбора конфиденциальной информации со взломанных Android-устройств.

Опасные моды Telegram сопровождались описанием на уйгурском, китайском традиционном и упрощенном языках. Разработчик этих версий называет их самыми быстрыми и отмечает, что они используют распределенную сеть центров обработки данных, расположенных по всему миру.

При запуске такие приложения ничем не отличается от оригинального Telegram, и большинство пакетов приложения похожи на стандартные пакеты мессенджера. Однако исследователи заметили в коде нетипичный для Telegram пакет com.wsys. Список функций, вызывающих com.wsys, указывал на то, что он пытается получить доступ к контактам пользователя. Учитывая, что пакет не входит в стандартную функциональность мессенджера, исследователи сочли это подозрительным.

Функции, вызывающие com.wsys

Дальнейший анализ показал, что библиотека com.wsys запускается в методе connectSocket(), добавленном в класс главной активности, которая отвечает за стартовый экран приложения. Этот метод вызывается при запуске приложения или смене аккаунта. В нем собирается информация о пользователе: имя, ID, номер телефона, после чего приложение подключается к командному серверу.

Кроме того, обнаружилось, что злоумышленники добавили в код обработки входящих сообщений вызов метода uploadTextMessageToService. При получении сообщения он собирает его содержимое, название и ID чата или канала, имя и ID отправителя. Затем вся информация шифруется и кэшируется во временном файле tgsync.s3, этот временный файл приложение периодически отправляет на командный сервер хакеров.

Но даже на краже сообщений вредоносная функциональность приложений не заканчивается. В код обработки контактов злоумышленники добавили вызов метода uploadFriendData. В этом методе собирается информация о контактах пользователя: ID, никнейм, имя и номер телефона. Все это также отправляется на управляющий сервер. Если пользователь решит поменять имя или номер телефона, эта информация тоже будет передана злоумышленникам.

Сбор изменившихся данных пользователя

Отмечается, что если пользователь получает и отправляет какой-либо файл, приложение создает его зашифрованную копию, которая затем загружается в аккаунт злоумышленников в одном из известных облачных хранилищ.

«Описанные в этой статье приложения представляют собой полноценное шпионское ПО, похищающее всю переписку жертвы, его личные данные и контакты и нацеленное на пользователей из определенной страны (Китая). При этом код приложений лишь незначительно отличается от оригинального кода Telegram и смог пройти проверки безопасности Google Play.

Как видите, публикация приложения в официальном магазине не гарантирует его безопасность, поэтому мы советуем пользователям с осторожностью относиться к сторонним модификациям мессенджеров, даже если они скачаны из Google Play», — резюмируют специалисты.

В компании отмечают, что уже сообщили об угрозе инженерам Google, однако некоторые вредоносные приложения все еще доступны для скачивания на момент публикации отчета.

 

[AI G]

Это действительно тревожное открытие со стороны исследователей «Лаборатории Касперского». Они обнаружили вредоносное программное обеспечение, которое маскируется под модифицированные версии Telegram в магазине Google Play. Это ПО было специально разработано для украдения конфиденциальной информации с взломанных устройств на базе операционной системы Android.

Угрожающие моды Telegram имели описания на разных языках, таких как уйгурский, китайский традиционный и упрощенный. Разработчик этих версий утверждает, что они являются самыми быстрыми и используют распределенную сеть центров обработки данных по всему миру.

При первом запуске эти модифицированные приложения ничем не отличаются от оригинала Telegram, и многие пакеты аналогичны пакетам стандартного мессенджера. Однако исследователи обнаружили необычный пакет com.wsys в коде, который не связан с функциональностью Telegram. Список функций, вызывающих пакет com.wsys, указывает на то, что он пытается получить доступ к контактам пользователя. Это вызвало подозрение исследователей.

Анализ дальнейшего кода показал, что библиотека com.wsys запускается в методе connectSocket(), который добавлен в главную активность, отвечающую за стартовый экран приложения. Этот метод собирает информацию о пользователе, такую как имя, ID и номер телефона, а затем приложение подключается к командному серверу.

Кроме того, исследователи обнаружили, что злоумышленники добавили в код обработки входящих сообщений вызов метода uploadTextMessageToService. При получении сообщения этот метод собирает его содержимое, название и ID чата или канала, имя и ID отправителя. Затем вся эта информация шифруется и хранится во временном файле tgsync.s3, который периодически отправляется на командный сервер злоумышленников.

Но украденная информация не ограничивается только сообщениями пользователей. В код обработки контактов злоумышленники добавили вызов метода uploadFriendData. Этот метод собирает информацию о контактах пользователя, такую как ID, никнейм, имя и номер телефона, и отправляет ее на сервер злоумышленников. Если пользователь решит изменить свое имя или номер телефона, эта информация также будет передана злоумышленникам.

Важно отметить, что если пользователь получает или отправляет файл, приложение создает зашифрованную копию этого файла, которая затем загружается в аккаунт злоумышленников на одном из известных облачных хранилищ.

Компания «Лаборатория Касперского» уже сообщила инженерам Google о найденной угрозе. Однако, на момент публикации отчета, некоторые вредоносные приложения все еще были доступны для скачивания в магазине Google Play. Компания рекомендует пользователям быть осторожными скачивать сторонние модификации мессенджеров, даже если они доступны в Google Play, поскольку наличие в официальном магазине не гарантирует их безопасность.