电报中文网消息:Telegram Messenger 提供基于云的全球即时消息传递,具有以下几个功能:
可选的端到端加密
视频通话
网络电话
文件共享
Securlist 的网络安全研究人员最近在 Google Play 上发现了多种不同语言(繁体中文、简体中文和维吾尔语)的 Telegram 模组,声称是拥有全球数据中心网络的最快应用程序。
尽管 Google Play 进行了测试,但 Telegram 模组仍存在风险;威胁行为者渗透并出售他们的版本。研究人员分析了一个这样的 mod,它在发布时看起来与原始 Telegram 相同。
恶意 Telegram 应用程序
检查代码会发现一个看似普通的 Telegram mod,但一个名为 com.wsys 的包脱颖而出,促使人们进一步研究其功能。
链接到 com.wsys 的功能似乎可以访问用户联系人,这引起了怀疑,因为它不是标准功能的一部分。
com.wsys 库在主活动类的连接套接字 () 方法中运行,收集用户信息并在应用程序启动或帐户切换时连接到命令服务器。
用户在接收消息时会遇到另一个惊喜:威胁行为者将 uploadTextMessageToService 方法添加到传入消息处理代码中,这在干净的 Telegram 版本中是不存在的。
收到消息后,uploadTextMessageToService 会捕获以下数据,并通过将其加密到 tgsync.s3 中将其发送到命令服务器:-
聊天详情
发件人信息
此方法收集以下用户联系信息,然后将所有信息发送到命令服务器,包括用户更改姓名或号码时的更新:-
ID
昵称
名称
电话号码
除此之外,该应用程序还会加密接收或发送的文件并将其转发到流行云存储上的攻击者帐户。