Эксперты лаборатории Kaspersky выявили опасное шпионское ПО, маскирующееся под модифицированные версии популярного мессенджера Telegram. В официальном магазине Google Play эти приложения уже скачали десятки тысяч пользователей.
Модифицированные версии (их также называют «модами») — часть экосистемы мессенджера. Они включают все стандартные функции, но дополнены различными улучшениями. Telegram не только не препятствует такой практике, но и активно поддерживает, считая ее законной.
Злоумышленники, воспользовавшись лояльностью компании, разработали свой мод, который получил название «Evil Telegram». По данным исследования, вариаций Telegram в магазинах сейчас довольно много, и использование каждого из них требует повышенной осторожности.
«Приложения вроде Telegram, Signal и WhatsApp обещают полную безопасность за счет сквозного шифрования. Это заставляет многих считать платформы абсолютно безвредными» — объясняет Эрих Крон, эксперт по вопросам кибербезопасности из компании KnowBe4.
Разработчик, выложивший несколько однотипных Android-клиентов, позиционирует их как самые быстрые, отмечая, что они используют распределенную сеть ЦОД, расположенных по всему миру.
Исследователи выявили, что приложения содержат скрытый модуль для мониторинга активности и пересылки собранных данных на внешние серверы. Эта информация может включать список контактов, отправленные и полученные сообщения вместе с прикрепленными файлами, названия чатов и каналов, а также имя и номер телефона владельца аккаунта. Код совсем незначительно отличается от оригинального, поэтому системам безопасности от Google очень сложно обнаружить вредоносные элементы.
Тревожит тот факт, что моды набрали уже 60 000 скачиваний и, вероятно, продолжают собирать информацию о своих жертвах. Угроза особенно актуальна для версии на уйгурском языке: нападки китайских спецслужб на этническое меньшинство продолжаются уже довольно длительное время, в том числе в киберпространстве.
Кэлли Гюнтер, старший менеджер по исследованию киберугроз в компании Critical Start, предупреждает, что шпионское ПО типа «Evil Telegram» представляет угрозу не только для отдельных пользователей, но и для бизнес-сферы. Заражение может привести к несанкционированному доступу к конфиденциальным данным и компрометации персональной информации сотрудников. Помимо шпионажа, телеграм-хакеры занимаются подменой криптовалютных адресов и рекламным мошенничеством.
Не так давно специалисты из компании ESET обнаружили другой шпионский мод под названием «FlyGram». Затем аналогичный вредоносный код нашли в модификации мессенджера Signal, которая называется «Signal Plus Messenger». Их связывают с активностью китайской группировки GREF.
В заключение Эрих Крон рекомендует организациям использовать только официальные приложения для общения между сотрудниками и информировать персонал обо всех возможных рисках.
С заботой о вашей безопасности, команда Origin Security
