eGospodarka.pl › Wiadomości › Technologie › Internet › Uwaga na fałszywą aplikację Telegram. Kryje się za nią trojan Triada!

Uwaga na fałszywą aplikację Telegram. Kryje się za nią trojan Triada!

2023-06-29 13:07

Uwaga na fałszywą aplikację Telegram © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (2)

Krążąca po sieci fałszywa aplikacja Telegram na Androida posiadała zaszytego trojana, który ma zdolność do wykradania danych, włączania subskrypcji premium, czy wyświetlania reklam - uważają stojący za odkryciem analitycy Check Point Research. To szczególnie ważne ostrzeżenie dla polskich użytkowników, którzy coraz chętniej korzystają z aplikacji ze względu na dostępność kanałów informujących o postępach w wojnie rosyjsko-ukraińskiej.

Przeczytaj także: WhatsApp i Telegram - uwaga na nowe zagrożenie

Modyfikacje aplikacji okazują się bardzo powszechne w świecie mobilnym. Mogą oferować dodatkowe funkcje, obniżone ceny lub po prostu być dostępne w regionie, w którym wersja pierwotna nie była. Jednak z ich instalacją wiąże się również spore ryzyko. Polega ono przede wszystkim na braku wiedzy co do poczynionych modyfikacji. Czy aplikacja oferuje dodatkową funkcjonalność? A może ukrywa się w niej oprogramowanie szpiegujące?

Analitycy bezpieczeństwa z firmy Check Point natrafili na ten drugi przypadek podczas analizowania kodu aplikacji podszywającej się pod Telegram Messenger w wersji 9.2.1 w wersji na Androida. Zmodyfikowana wersja posiadała zaszytego trojana Triada, który grasuje po sieci co najmniej od 2016 roku. Złośliwe oprogramowanie jest modułowym backdoorem dla Androida, który przyznaje uprawnienia administratora i umożliwia pobieranie kolejnych plików ze złośliwym oprogramowaniem!

Aplikacja dostępna poza sklepem Google posiadała identyczną nazwę pakietu (org.telegram.messenger) i tę samą ikonę, co oryginalna aplikacja Telegram. Po uruchomieniu użytkownikowi wyświetlał się ekran uwierzytelniania z prośbą o podanie numeru telefonu urządzenia i nadanie aplikacji uprawnień telefonu.

Złośliwe oprogramowanie podszywa się pod komunikator Telegram

Kliknij, aby powiekszyć

fot. mat. prasowe

Złośliwe oprogramowanie podszywa się pod komunikator Telegram

Aplikacja dostępna poza sklepem Google posiadała identyczną nazwę pakietu (org.telegram.messenger) i tę samą ikonę, co oryginalna aplikacja Telegram. Po uruchomieniu użytkownikowi wyświetlał się ekran uwierzytelniania z prośbą o podanie numeru telefonu urządzenia i nadanie aplikacji uprawnień telefonu.

Kliknij, aby przejść do galerii (2)

Tymczasem analiza statyczna aplikacji ujawniła, że po uruchomieniu aplikacji w tle działał kod złośliwego oprogramowania, udający wewnętrzną usługę aktualizacji aplikacji. Złośliwe oprogramowanie zbierało informacje o urządzeniu, konfigurowało kanał komunikacyjny, pobierał pliki konfiguracyjne i czekało na odbiór ładunków ze zdalnego serwera. Po odszyfrowaniu i uruchomieniu ładunku Triada uzyskiwała uprawnienia systemowe, które pozwalały jej wstrzykiwać się do innych procesów i wykonywać wiele złośliwych działań.

Wcześniejsze badania przeprowadzone na Triadzie pokazały jej różnorodne złośliwe zdolności. Wg ekspertów Check Pointa obejmują one rejestrowanie użytkownika w różnych płatnych subskrypcjach, dokonywanie zakupów w aplikacji przy użyciu wiadomości SMS i numeru telefonu, wyświetlanie reklam (w tym niewidocznych reklam działających w tle) oraz kradzież danych logowania i innych informacji o użytkowniku i urządzeniu.

Przeczytaj także: