- дата публікації
Хакери перетворили месенджер Telegram на вектор для шкідливого програмного забезпечення
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Хакери використовують месенджер Telegram для поширення шкідливого програмного забезпечення, щоб отримати контроль над пристроями.
Згідно з повідомленнями, вони використовують бекдор у модифікованій версії месенджера Telegram X, що надає їм повний доступ до акаунтів жертв та можливість діяти непомітно. Шкідливе програмне забезпечення надсилається на пристрої через оманливі рекламні оголошення в додатку та сторонні магазини додатків, що маскуються під легітимні платформи для знайомств і спілкування.
Ця загроза є значною ескалацією поширення мобільних вірусів, зокрема, охоплено 58,000 заражених пристроїв. Шкідливе програмне забезпечення також розповсюдилося на понад 3,000 смартфонів, планшетів, телевізійних приставок та деяких автомобільних систем на базі Android. Згідно з інформацією, поширення бекдору почалося в 2024 році, при цьому хакери в основному націлюються на користувачів з Бразилії та Індонезії, використовуючи шаблони португальської та індонезійської мов.
Жертви стикаються з рекламою в мобільному додатку, яка перенаправляє їх до фальшивих каталогів додатків з підробленими відгуками та промоційними банерами, що рекламують безкоштовні відеочати та можливості знайомств.
Ці фальшиві вебсайти пропонують додатки з шкідливим ПЗ, які виглядають як законні. Окрім фальшивих вебсайтів, бекдор також проникає в відомі сторонні репозиторії, такі як APKPure, ApkSum та AndroidP, де він публікується під ім'ям офіційного розробника месенджера, незважаючи на відмінний цифровий підпис. Аналітики виявили, що шкідливе програмне забезпечення має здібності до крадіжки конфіденційної інформації, включаючи логіни, паролі та повні історії чатів.
Бекдор також приховує ознаки компрометації акаунтів, усуваючи з активних списків сеансів Telegram підключення сторонніх пристроїв. Шкідливе ПЗ може видаляти або додавати своїх жертв до каналів та чатів без їхнього дозволу, цілком маскуючи ці дії, перетворюючи скомпрометовані акаунти на інструменти для штучного збільшення кількості підписників у каналах Telegram. Від звичайних загроз Android його відрізняє використання бази даних Redis для командно-контрольних операцій.
Раніше версії шкідливого програмного забезпечення покладалися на традиційні C2 сервери, але розробники інтегрували команди на основі Redis. Бекдор маніпулює функціоналом месенджера без виявлення.
Для операцій, які не порушують основних функцій додатку, хакери використовують заготовлені дзеркала методів месенджера, які є окремими блоками коду для специфічних задач у архітектурі Android. Ці дзеркала дозволяють додатку відображати фішингові повідомлення у вікнах, які ідеально імітують інтерфейси оригінального Telegram X. Для інших операцій, що вимагають глибшої інтеграції, шкідливе програмне забезпечення використовує фреймворк Xposed для модифікації методів додатка, що дозволяє приховувати конкретні чати, приховувати авторизовані пристрої та перехоплювати вміст буфера обміну.
Бекдор використовує Redis канали та C2 сервери для отримання розширених команд, включаючи завантаження SMS, контактів та вмісту буфера обміну щоразу, коли користувач зменшує або відновлює вікно месенджера. Моніторинг буфера обміну використовується хакерами для крадіжки даних, таких як паролі криптогаманців, мнемонічні фрази або конфіденційна ділова переписка, яка випадково стала доступною.
Бекдор збирає інформацію про пристрій, дані встановлених додатків, історії повідомлень та токени автентифікації, передаючи інформацію хакерам кожні три хвилини, одночасно підтримуючи вигляд нормальної роботи месенджера Telegram.