Шпионские версии мессенджеров в Google Play

Шпионские версии мессенджеров в Google Play

Исследователи обнаружили в Google Play несколько зараженных версий популярных мессенджеров Telegram и Signal со шпионским ПО внутри.

Для популярных мессенджеров, таких как Telegram, Signal, WhatsApp, существует немалое количество альтернативных клиентов. Часто такие модифицированные приложения — их еще называют «модами» — предоставляют своим пользователям дополнительные функции и возможности, отсутствующие в официальных клиентах.

И если в WhatsApp неодобрительно относятся к модам, время от времени пытаются запретить их использование и изгоняют из официальных магазинов приложений, то в Telegram, наоборот, не только никогда не воевали с альтернативными клиентами, но даже рады их созданию, так что модов для «телеги» развелось очень много. Но безопасны ли они?

Увы, несколько недавних исследований показывают, что пользоваться модами мессенджеров стоит с большой осторожностью. И, хотя для большинства пользователей приложение, прошедшее проверку и размещенное в Google Play, по умолчанию воспринимается как легальное и безопасное, мы уже не раз писали, что это, увы, не так: вместе с аппом из Google Play можно получить и троян (кстати, его скачали более 100 млн раз!), и бэкдор, и подписчик, и много другой дряни.

На первый взгляд эти приложения — полноценные клоны Telegram с интерфейсом, переведенным на указанные выше языки. Все выглядит и работает практически так же, как и в «настоящем» мессенджере.

Мы заглянули в их код и выяснили, что эти приложения в основном представляют собой слегка модифицированные версии официального Telegram. Впрочем, есть небольшая разница, которая ускользнула от внимания модераторов Google Play, — в зараженные версии Telegram добавлен дополнительный модуль. Он постоянно следит за тем, что происходит в мессенджере, и пересылает на командный сервер создателей шпиона массу данных: все контакты пользователя, все полученные и отправленные сообщения, включая вложенные файлы, названия чатов и каналов, имя и номер телефона владельца аккаунта, — в общем, всю переписку в целом. И даже если пользователь сменит имя или номер телефона, эта информация тоже отправится к злоумышленникам.

Интересно, что некоторое время назад исследователями ESET была обнаружена еще одна шпионская версия «телеги» под названием FlyGram. Этот шпион, правда, даже не пытался казаться официальной версией. Вместо этого он представлялся альтернативным клиентом Telegram, то есть как раз модом, и размещался не только в Google Play, но и в Samsung Galaxy Store.

Что еще интереснее, его создатели не ограничились имитацией только Telegram. Помимо этого, они также разместили в тех же магазинах зараженную версию Signal — назвав это приложение Signal Plus Messenger. А для солидности и легитимизации фейковых мессенджеров даже создали сайты flygram[.]org и signalplus[.]org.

Зараженные WhatsApp и Telegram подменяют адреса криптокошельков.
А еще несколько месяцев назад те же исследователи обнаружили массу вредоносных версий мессенджеров WhatsApp и Telegram, нацеленных в первую очередь на кражу криптовалюты. Они подменяют адреса криптокошельков в сообщениях пользователей зараженной версии мессенджера, чтобы перехватывать переводы, поступающие на кошелек жертвы.

Источник:
https://www.kaspersky.ru/blog/telegram-signal-malware-in-google-play/36017/
Нет комментариев. Ваш будет первым!