Phần mềm gián điệp giả mạo phiên bản sửa đổi của Telegram đã được phát hiện trong Cửa hàng Google Play được thiết kế để thu thập thông tin nhạy cảm từ các thiết bị Android bị xâm nhập.
Theo nhà nghiên cứu bảo mật của Kaspersky, Igor Golovin, các ứng dụng này có các tính năng bất chính để thu thập và lọc tên, ID người dùng, danh bạ, số điện thoại và tin nhắn trò chuyện đến máy chủ do tác nhân kiểm soát.
Hoạt động này đã được công ty an ninh mạng Nga đặt tên mã là Evil Telegram .
Các ứng dụng này đã được tải xuống tổng cộng hàng triệu lần trước khi bị Google gỡ xuống. Chi tiết của họ như sau -
- 電報,紙飛機-TG繁體中文版 hoặc 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - hơn 10 triệu lượt tải xuống
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50.000+ lượt tải xuống
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) - Hơn 50.000 lượt tải xuống
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) - Hơn 10.000 lượt tải xuống
- ئۇيغۇر تىلى TG - تېلېگراما (org.telegram.messenger.wcb) - 100+ lượt tải xuống
Ứng dụng cuối cùng trong danh sách có nghĩa là "Telegram - TG Uyghur", cho thấy rõ ràng nỗ lực nhắm vào cộng đồng người Duy Ngô Nhĩ.
Điều đáng chú ý là tên gói được liên kết với phiên bản Play Store của Telegram là "org.telegram.messenger", trong khi tên gói cho tệp APK được tải xuống trực tiếp từ trang web của Telegram là "org.telegram.messenger.web."
Do đó, việc sử dụng "wab", "wcb" và "wob" cho các tên gói độc hại, làm nổi bật sự phụ thuộc của tác nhân đe dọa vào các kỹ thuật đánh máy để mạo danh ứng dụng Telegram hợp pháp và lọt vào tầm ngắm.
Công ty cho biết : “Thoạt nhìn, những ứng dụng này dường như là bản sao hoàn chỉnh của Telegram với giao diện được bản địa hóa” . "Mọi thứ trông và hoạt động gần giống như hàng thật. [Nhưng] có một khác biệt nhỏ mà người kiểm duyệt Google Play không chú ý: các phiên bản bị nhiễm chứa một mô-đun bổ sung:"
Tiết lộ này được đưa ra vài ngày sau khi ESET tiết lộ chiến dịch phần mềm độc hại BadBazaar nhắm mục tiêu vào thị trường ứng dụng chính thức, lợi dụng phiên bản lừa đảo của Telegram để tích lũy các bản sao lưu trò chuyện.
Các ứng dụng bắt chước tương tự như Telegram và WhatsApp đã bị công ty an ninh mạng Slovakia phát hiện trước đó vào tháng 3 năm 2023, được trang bị chức năng clipper để chặn và sửa đổi địa chỉ ví trong tin nhắn trò chuyện và chuyển hướng chuyển tiền điện tử sang ví do kẻ tấn công sở hữu.