Plusieurs clones malveillants de Telegram pour Android sur Google Play ont été installés plus de 60 000 fois, infectant les utilisateurs avec des logiciels espions qui volent les messages des utilisateurs, les listes de contacts et d’autres données.
Les applications semblent être adaptées aux utilisateurs sinophones et à la minorité ethnique ouïghoure, ce qui suggère des liens possibles avec les mécanismes bien documentés de surveillance et de répression de l’État.
Les applications ont été découvertes par Kaspersky, qui les a signalées à Google. Cependant, au moment où les chercheurs ont publié leur rapport, plusieurs applications malveillantes étaient encore disponibles au téléchargement via Google Play.
Télégramme torjanisé
Les applications Telegram présentées dans le rapport de Kaspersky sont présentées comme des alternatives « plus rapides » à l’application classique.
Les exemples présentés dans le rapport comptent plus de 60 000 installations, la campagne a donc un succès modéré pour atteindre un bassin de cibles potentielles.
Les analystes de sécurité rapportent que les applications sont apparemment les mêmes que le Telegram original mais contiennent des fonctions supplémentaires dans le code pour voler des données.
Plus précisément, il existe un package supplémentaire nommé « com. wsys’ qui accède aux contacts de l’utilisateur et collecte également le nom d’utilisateur, l’ID utilisateur et le numéro de téléphone de la victime.
Lorsque l’utilisateur reçoit un message via l’application cheval de Troie, le logiciel espion envoie une copie directement au serveur de commande et de contrôle (C2) de l’opérateur à l’adresse « sg[.]telegrnm[.]org ».
Les données exfiltrées, qui sont cryptées avant la transmission, contiennent le contenu du message, le titre et l’identifiant du chat/canal, ainsi que le nom et l’identifiant de l’expéditeur.
L’application de logiciel espion surveille également l’application infectée pour détecter les modifications apportées au nom d’utilisateur et à l’identifiant de la victime ainsi que les modifications apportées à la liste de contacts, et si quelque chose change, collecte les informations les plus récentes.
Il convient de noter que les applications malveillantes Evil Telegram utilisaient les noms de package « org.telegram.messenger.wab » et « org.telegram.messenger.wob », tandis que l’application Telegram légitime porte le nom de package « org.telegram.messenger ». .la toile.’
Google a depuis retiré ces applications Android de Google Play et a partagé la déclaration suivante avec Breachtrace.
« Nous prenons au sérieux les réclamations en matière de sécurité et de confidentialité contre les applications, et si nous constatons qu’une application a enfreint nos politiques, nous prenons les mesures appropriées. Toutes les applications signalées ont été supprimées de Google Play et les développeurs ont été bannis. Les utilisateurs sont également protégés. par Google Play Protect, qui peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant sur les appareils Android dotés des services Google Play. – Google.
Dangers des applications de messagerie modifiées
À la fin du mois dernier, ESET a mis en garde contre deux applications de messagerie trojanisées, Signal Plus Messenger et FlyGram, présentées comme des versions plus riches en fonctionnalités des applications open source populaires Signal et Telegram.
Désormais supprimées de Google Play et du Samsung Galaxy Store, ces applications contenaient le malware BadBazaar qui permettait à leurs opérateurs, l’APT chinois « GREF », d’espionner leurs cibles.
Plus tôt cette année, ESET a découvert deux douzaines de sites clones de Telegram et WhatsApp distribuant des versions trojanisées des applications de messagerie populaires, ciblant également les utilisateurs parlant chinois.
Il est recommandé aux utilisateurs d’utiliser les versions authentiques des applications de messagerie et d’éviter de télécharger des applications dupliquées qui promettent une confidentialité, une vitesse ou d’autres fonctionnalités améliorées.
Google n’a pas pu arrêter ces téléchargements malveillants, principalement parce que les éditeurs introduisent du code malveillant via des mises à jour post-filtrage et post-installation.
En juillet, le géant de la technologie a dévoilé une stratégie visant à mettre en œuvre un système de vérification des entreprises sur la boutique Google Play à partir du 31 août 2023, visant à renforcer la sécurité des utilisateurs d’Android.