Se ha detectado software espía disfrazado de versiones modificadas de Telegram en Google Play Store que está diseñado para recopilar información confidencial de dispositivos Android comprometidos.
Según el investigador de seguridad de Kaspersky, Igor Golovin, las aplicaciones vienen con funciones nefastas para capturar y exfiltrar nombres, identificaciones de usuarios, contactos, números de teléfono y mensajes de chat a un servidor controlado por actores.
La actividad ha recibido el nombre en código Evil Telegram de la empresa rusa de ciberseguridad.
Las aplicaciones se descargaron colectivamente millones de veces antes de que Google las eliminara. Sus detalles son los siguientes:
- 電報,紙飛機-TG繁體中文版 o 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – Más de 10 millones de descargas
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – Más de 50.000 descargas
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – Más de 50.000 descargas
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – Más de 10.000 descargas
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – Más de 100 descargas
La última aplicación de la lista se traduce como «Telegram – TG Uyghur», lo que indica un claro intento de apuntar a la comunidad uigur.
Vale la pena señalar que el nombre del paquete asociado con la versión Play Store de Telegram es «org.telegram.messenger», mientras que el nombre del paquete para el archivo APK descargado directamente desde el sitio web de Telegram es «org.telegram.messenger.web».
Por lo tanto, el uso de «wab», «wcb» y «wob» para los nombres de paquetes maliciosos resalta la dependencia del actor de amenazas en técnicas de typosquatting para hacerse pasar por la aplicación Telegram legítima y pasar desapercibida.
«A primera vista, estas aplicaciones parecen ser clones completos de Telegram con una interfaz localizada», dijo la compañía . «Todo se ve y funciona casi igual que en la realidad. [Pero] hay una pequeña diferencia que escapó a la atención de los moderadores de Google Play: las versiones infectadas albergan un módulo adicional:»
La revelación se produce días después de que ESET revelara una campaña de malware BadBazaar dirigida al mercado oficial de aplicaciones que aprovechó una versión fraudulenta de Telegram para acumular copias de seguridad de chat.
La empresa eslovaca de ciberseguridad descubrió anteriormente en marzo de 2023 aplicaciones similares de imitación de Telegram y WhatsApp que venían equipadas con una función de clipper para interceptar y modificar direcciones de billetera en mensajes de chat y redirigir transferencias de criptomonedas a billeteras propiedad de atacantes.
Fuente y redacción: thehackernews.com