Google Play 上の Android 用の悪意のある Telegram クローンのいくつかが 60,000 回以上インストールされ、ユーザーのメッセージ、連絡先リスト、その他のデータを盗むスパイウェアに人々を感染させました。
これらのアプリは中国語を話すユーザーや少数民族ウイグル人向けに作られているようで、 十分に文書化された国家監視・弾圧メカニズムとの関連性を示唆している。
これらのアプリはカスペルスキーによって発見され、カスペルスキーが Google に報告しました。しかし、研究者らが報告書を発表した時点では、まだいくつかの悪意のあるアプリが Google Play を通じてダウンロード可能でした。
トルジャン化された電報
Kaspersky のレポートで紹介されている Telegram アプリは、通常のアプリの「高速な」代替手段として宣伝されています。
レポートに示されている例ではインストール数が 60,000 件を超えているため、このキャンペーンは潜在的なターゲットのプールに到達する上である程度の成功を収めています。
セキュリティアナリストらは、アプリは表向きは元の Telegram と同じだが、コード内にデータを盗むための追加機能が含まれていると報告している。
具体的には、「com」という名前の追加パッケージがあります。 wsys はユーザーの連絡先にアクセスし、被害者のユーザー名、ユーザー ID、電話番号も収集します。
ユーザーがトロイの木馬化されたアプリを通じてメッセージを受信すると、スパイウェアはコピーを「sg[.]telegrnm[.]org」にあるオペレーターのコマンド&コントロール (C2) サーバーに直接送信します。
持ち出されたデータは送信前に暗号化され、メッセージの内容、チャット/チャネルのタイトルと ID、送信者の名前と ID が含まれます。
また、スパイウェア アプリは、感染したアプリで被害者のユーザー名と ID の変更、連絡先リストの変更を監視し、何か変更があった場合は最新の情報を収集します。
悪意のある Evil Telegram アプリはパッケージ名「org.telegram.messenger.wab」および「org.telegram.messenger.wob」を使用していましたが、正規の Telegram アプリのパッケージ名は「org.telegram.messenger」であることに注意してください。 。ウェブ。’
その後、Google はこれらの Android アプリを Google Play から削除し、次の声明を と共有しました。
「当社はアプリに対するセキュリティとプライバシーの申し立てを真剣に受け止めており、アプリが当社のポリシーに違反していることが判明した場合は、適切な措置を講じます。報告されたアプリはすべて Google Play から削除され、開発者は禁止されました。ユーザーも保護されています」 Google Play プロテクトにより、Google Play サービスを備えた Android デバイス上でユーザーに警告したり、悪意のある動作を示すことが知られているアプリをブロックしたりできます。」 – グーグル。
改造されたメッセージングアプリの危険性
現在は Google Play と Samsung Galaxy Store から削除されていますが、これらのアプリには BadBazaar マルウェアが含まれており、運営者である中国の APT「GREF」がターゲットをスパイすることができました。
ESETは今年初め、人気メッセージングアプリのトロイの木馬化バージョンを配布しており、これも中国語圏ユーザーをターゲットにした20のTelegramとWhatsAppのクローンサイトを発見した。
ユーザーには、メッセージング アプリの正規バージョンを使用し、プライバシー、速度、その他の機能の強化を約束するフォークされたアプリのダウンロードを避けることが推奨されます。
Google がこれらの悪意のあるアップロードを阻止できていないのは、主に発行者が事後スクリーニングやインストール後のアップデートを通じて悪意のあるコードを導入しているためです。
テクノロジー大手は7月、Androidユーザーのセキュリティ強化を目的として、2023年8月31日からGoogle Playストアにビジネス認証システムを導入する戦略を発表した。
Comments