Złośliwa aplikacja podszywająca się pod Telegram na Androida. Ostrzeżenie przed zagrożeniem dla prywatności

0
  • Krążąca po sieci fałszywa aplikacja Telegram na Androida posiadała zaszytego trojana, który ma zdolność do wykradania danych, włączania subskrypcji premium, czy wyświetlania reklam – uważają stojący za odkryciem analitycy Check Point Research.
  • Złośliwe oprogramowanie Triada zbierało informacje o urządzeniu, konfigurowało kanał komunikacyjny, pobierał pliki konfiguracyjne i czekało na odbiór ładunków ze zdalnego serwera.
  • Wcześniejsze badania przeprowadzone na Triadzie pokazały jej różnorodne złośliwe zdolności – rejestrowanie użytkownika w różnych płatnych subskrypcjach, dokonywanie zakupów w aplikacji przy użyciu wiadomości SMS i numeru telefonu, wyświetlanie reklam oraz kradzież danych logowania.

Krążąca po sieci fałszywa aplikacja Telegram na Androida posiadała zaszytego trojana, który ma zdolność do wykradania danych, włączania subskrypcji premium, czy wyświetlania reklam – uważają stojący za odkryciem analitycy Check Point Research. To szczególnie ważne ostrzeżenie dla polskich użytkowników, którzy coraz chętniej korzystają z rosyjskiej aplikacji ze względu na dostępność kanałów informujących o postępach w wojnie rosyjsko-ukraińskiej.

Modyfikacje aplikacji okazują się bardzo powszechne w świecie mobilnym. Mogą oferować dodatkowe funkcje, obniżone ceny lub po prostu być dostępne w regionie, w którym wersja pierwotna nie była. Jednak z ich instalacją wiąże się również spore ryzyko. Polega ono przede wszystkim na braku wiedzy co do poczynionych modyfikacji. Czy aplikacja oferuje dodatkową funkcjonalność? A może ukrywa się w niej oprogramowanie szpiegujące?

Analitycy bezpieczeństwa z firmy Check Point natrafili na ten drugi przypadek podczas analizowania kodu aplikacji podszywającej się pod Telegram Messenger w wersji 9.2.1 w wersji na Androida.  Zmodyfikowana wersja posiadała zaszytego trojana Triada, który grasuje po sieci co najmniej od 2016 roku. Złośliwe oprogramowanie jest modułowym backdoorem dla Androida, który przyznaje uprawnienia administratora i umożliwia pobieranie kolejnych plików ze złośliwym oprogramowaniem!

Aplikacja dostępna poza sklepem Google posiadała identyczną nazwę pakietu (org.telegram.messenger) i tę samą ikonę, co oryginalna aplikacja Telegram. Po uruchomieniu użytkownikowi wyświetlał się ekran uwierzytelniania z prośbą o podanie numeru telefonu urządzenia i nadanie aplikacji uprawnień telefonu.

Tymczasem analiza statyczna aplikacji ujawniła, że po uruchomieniu aplikacji w tle działał kod złośliwego oprogramowania, udający wewnętrzną usługę aktualizacji aplikacji. Złośliwe oprogramowanie zbierało informacje o urządzeniu, konfigurowało kanał komunikacyjny, pobierał pliki konfiguracyjne i czekało na odbiór ładunków ze zdalnego serwera. Po odszyfrowaniu i uruchomieniu ładunku Triada uzyskiwała uprawnienia systemowe, które pozwalały jej wstrzykiwać się do innych procesów i wykonywać wiele złośliwych działań.

Wcześniejsze badania przeprowadzone na Triadzie pokazały jej różnorodne złośliwe zdolności. Wg ekspertów Check Pointa obejmują one rejestrowanie użytkownika w różnych płatnych subskrypcjach, dokonywanie zakupów w aplikacji przy użyciu wiadomości SMS i numeru telefonu, wyświetlanie reklam (w tym niewidocznych reklam działających w tle) oraz kradzież danych logowania i innych informacji o użytkowniku i urządzeniu.