Denominado Evil Telegram tiene funciones nefastas para capturar y exfiltrar datos
Se ha detectado en Google Play Store software espía disfrazado de versiones modificadas de Telegram y diseñado para recopilar información confidencial de dispositivos Android comprometidos.
Según el investigador de seguridad de Kaspersky, Igor Golovin, las aplicaciones vienen con funciones nefastas para capturar y exfiltrar nombres, identificaciones de usuarios, contactos, números de teléfono y mensajes de chat a un servidor controlado por actores maliciosos.
La actividad ha recibido el nombre en código Evil Telegram por la empresa rusa de ciberseguridad.
Las aplicaciones se descargaron colectivamente millones de veces antes de que Google las eliminara. Sus detalles son los siguientes:
電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - 10 millones+ de descargas
TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50.000+ de descargas
电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) - 50.000+ de descargas
电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) - 10.000+ de descargas
ئۇيغۇر تىلى TG - تېلېگرامما (org.telegram.messenger.wcb) - 100+ de descargas
La última aplicación de la lista se traduce como "Telegram - TG Uyghur", lo que indica un claro intento de apuntar a la comunidad uigur.
Vale la pena señalar que el nombre del paquete asociado con la versión Play Store de Telegram es "org.telegram.messenger", mientras que el nombre del paquete para el archivo APK descargado directamente desde el sitio web de Telegram es "org.telegram.messenger.web".
Por lo tanto, el uso de "wab", "wcb" y "wob" para los nombres de paquetes maliciosos resalta la dependencia del actor de amenazas en técnicas de typosquatting para hacerse pasar por la aplicación Telegram legítima y pasar desapercibida.
"A primera vista, estas aplicaciones parecen ser clones completos de Telegram con una interfaz localizada", dijo la compañía. "Todo se ve y funciona casi igual que la aplicación real. [Pero] hay una pequeña diferencia que escapó a la atención de los moderadores de Google Play: las versiones infectadas albergan un módulo adicional."
La revelación se produce días después de que ESET revelara una campaña de malware BadBazaar dirigida al mercado oficial de aplicaciones que aprovechó una versión fraudulenta de Telegram para acumular copias de seguridad de chat.
La empresa eslovaca de ciberseguridad descubrió anteriormente en marzo de 2023 aplicaciones similares de imitación de Telegram y WhatsApp que venían equipadas con una función de clipper para interceptar y modificar direcciones de billeteras en mensajes de chat y redirigir transferencias de criptomonedas a billeteras propiedad de los atacantes.