数百万人被隐藏在Google Play上的假Telegram应用程序中的间谍软件感染

2023-09-11 10:24:58 19 3593

伪装成Telegram修改版本的间谍软件已在Google Play商店中被发现,该商店旨在从受损的Android设备中获取敏感信息。 根据卡巴斯基安全研究员Igor Golovin的说法,这些应用程序具有邪恶的功能,可以捕获和泄露姓名,用户ID,联系人,电话号码和聊天消息到演员控制的服务器。 该活动被俄罗斯网络安全公司命名为Evil Telegram。


伪装成Telegram修改版本的间谍软件已在Google Play商店中被发现,该商店旨在从受损的Android设备中获取敏感信息。

根据卡巴斯基安全研究员Igor Golovin的说法,这些应用程序具有邪恶的功能,可以捕获和泄露姓名,用户ID,联系人,电话号码和聊天消息到演员控制的服务器。

该活动被俄罗斯网络安全公司命名为Evil Telegram。

这些应用程序在被谷歌删除之前已经被下载了数百万次。他们的详情如下:

電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - 10 million+ downloads
TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50,000+ downloads
电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) - 50,000+ downloads
电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) - 10,000+ downloads
ئۇيغۇر تىلى TG - تېلېگرامما (org.telegram.messenger.wcb) - 100+ downloads
名单上的最后一个应用程序翻译为“电报- TG维吾尔语”,表明明显试图针对维吾尔族社区。


值得注意的是,与Play商店版本的Telegram相关联的软件包名称是“org.telegram.messenger”,而直接从Telegram网站下载的APK文件的软件包名称是“org. telegram. messenger. web”。“

因此,使用“wab”,“wcb”和“wob”作为恶意软件包名称,突出了威胁行为者对拼写错误技术的依赖,以便冒充合法的Telegram应用程序并在雷达下溜走。

“乍一看,这些应用程序似乎是具有本地化界面的完整Telegram克隆,”该公司表示。“一切看起来和工作几乎一样的真实的东西。[But]Google Play版主有一个小小的区别:受感染的版本包含一个额外的模块:“

在ESET披露BadBazaar恶意软件活动的几天后,该恶意软件活动针对官方应用程序市场,利用流氓版本的Telegram来收集聊天备份。

斯洛伐克网络安全公司在2023年3月发现了类似的山寨Telegram和WhatsApp应用程序,这些应用程序配备了裁剪器功能,可以拦截和修改聊天消息中的钱包地址,并将加密货币转移重定向到攻击者拥有的钱包。

关于作者

H1d0ng9e48篇文章679篇回复

a

评论19次

要评论?请先  登录  或  注册