卡巴斯基安全研究员 Igor Golovin 表示,这些应用程序具有恶意功能,可以捕获姓名、用户 ID、联系人、电话号码和聊天消息并将其泄露到攻击者控制的服务器上。
俄罗斯网络安全公司将该活动代号为“邪恶电报” 。
这些应用程序在被谷歌下架之前已经被下载了数百万次。他们的详情如下——
电报,纸飞机-TG繁体中文版或电报,小飞机-TG繁体中文版 (org.telegram.messenger.wab) – 下载量超过1000万次
TG繁体中文版-电报,纸飞机 (org.telegram.messenger.wab) – 50,000+次下载
电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50,000+次下载
电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10,000+次下载
সেইসা TG – দেযানা (org.telegram.messenger.wcb) – 100 多次下载
列表中的最后一个应用程序翻译为“Telegram – TG Uyghur”,表明其明显试图针对维吾尔族社区。
值得注意的是,与 Play Store 版本的 Telegram 相关的包名称是“org.telegram.messenger”,而直接从Telegram 网站下载的 APK 文件的包名称是“org.telegram.messenger.web”。
因此,使用“wab”、“wcb”和“wob”作为恶意包名称,凸显了威胁行为者对仿冒技术的依赖,以便冒充合法的 Telegram 应用程序并躲过雷达的监视。
太脆弱了:揭示身份攻击面的状态
获得硕士学位?帕姆?服务帐户保护?了解您的组织在应对身份威胁方面的装备有多完善
保留您的位置该公司表示:“乍一看,这些应用程序似乎是具有本地化界面的成熟 Telegram 克隆。 ” “一切看起来和工作起来几乎与真实的一样。[但是]有一个小差异没有引起 Google Play 管理员的注意:受感染的版本包含一个附加模块:”
几天前,ESET 披露了针对官方应用市场的BadBazaar恶意软件活动,该活动利用流氓版本的 Telegram 来收集聊天备份。
斯洛伐克网络安全公司此前于 2023 年 3 月发现了类似的Telegram和 WhatsApp 应用程序,这些应用程序配备了 Clipper 功能,可以拦截和修改聊天消息中的钱包地址,并将加密货币转移重定向到攻击者拥有的钱包。