Diversos clones maliciosos do Telegram para dispositivos Android, disponíveis na loja Google Play, foram instalados em mais de 60.000 dispositivos, comprometendo a segurança dos usuários com spyware projetado para roubar suas mensagens, listas de contatos e outros dados.
Esses aplicativos aparentam ser direcionados aos usuários de língua chinesa e à minoria étnica uigure, sugerindo possíveis conexões com os conhecidos mecanismos de vigilância e repressão do estado.
A descoberta desses aplicativos foi feita pela empresa de segurança Kaspersky, que notificou o Google sobre a situação. Entretanto, no momento da publicação do relatório pelos pesquisadores, diversos aplicativos maliciosos ainda estavam disponíveis para download na loja Google Play.
Esses aplicativos do Telegram, conforme descritos no relatório da Kaspersky, eram promovidos como alternativas "mais rápidas" ao aplicativo legítimo. Eles alcançaram mais de 60.000 instalações, indicando um moderado sucesso em atingir um grupo considerável de possíveis alvos.
Os analistas de segurança observaram que, à primeira vista, esses aplicativos maliciosos parecem idênticos ao Telegram original, mas contêm funcionalidades adicionais no código para a coleta de dados. Especificamente, incluem um pacote extra chamado 'com. wsys', que obtém acesso aos contatos do usuário, bem como coleta o nome de usuário, ID do usuário e número de telefone da vítima.
Quando o usuário recebe uma mensagem por meio desses aplicativos trojanizados, o spyware envia uma cópia diretamente para o servidor de comando e controle (C2) dos operadores, localizado em "sg[.]telegrnm[.]org". Os dados exfiltrados são criptografados antes de serem transmitidos e incluem o conteúdo da mensagem, o título e ID do chat/canal, além do nome e ID do remetente.
Além disso, o spyware monitora constantemente o aplicativo infectado em busca de alterações no nome de usuário, ID da vítima e na lista de contatos. Se ocorrerem alterações, ele coleta as informações mais atualizadas.
É relevante mencionar que esses aplicativos maliciosos do "Evil Telegram" usaram nomes de pacote diferentes dos aplicativos legítimos do Telegram. A Google prontamente removeu esses aplicativos Android da Google Play Store e compartilhou medidas adicionais de segurança para proteger os usuários.
"Levamos a sério as reivindicações de segurança e privacidade contra aplicativos e, se descobrirmos que um aplicativo violou nossas políticas, tomamos as medidas apropriadas. Todos os aplicativos relatados foram removidos do Google Play e os desenvolvedores foram banidos. Os usuários também estão protegidos pelo Google Play Protect, que pode alertar os usuários ou bloquear aplicativos conhecidos por exibirem comportamento malicioso em dispositivos Android com o Google Play Services." - Google.
Recentemente, a ESET também alertou sobre aplicativos de mensagens trojanizados, como o Signal Plus Messenger e o FlyGram, que foram removidos das lojas de aplicativos após a descoberta de malware. Esses incidentes destacam a importância de usar versões originais de aplicativos de mensagens e evitar downloads de aplicativos bifurcados que prometem recursos adicionais, pois esses podem representar riscos significativos para a segurança do usuário.
O Google está trabalhando para aprimorar a segurança em sua loja de aplicativos, implementando um sistema de verificação comercial a partir de 31 de agosto de 2023, com o objetivo de proteger os usuários do Android contra ameaças como essas.
Comments