- дата публикации
Хакеры превратили мессенджер Telegram в вектор для вредоносного ПО
- источник
- сайт
- www.cryptopolitan.com
- открыть источник
Хакеры используют мессенджер Telegram для распространения вредоносного программного обеспечения, чтобы получить контроль над устройствами.
Согласно сообщениям, они используют бэкдор в модифицированной версии мессенджера Telegram X, который предоставляет им полный доступ к аккаунтам жертв и возможность действовать незаметно. Вредоносное программное обеспечение отправляется на устройства через обманчивые рекламные объявления в приложении и сторонние магазины приложений, маскируясь под легитимные платформы для знакомств и общения.
Эта угроза является значительной эскалацией распространения мобильных вирусов, в частности, охвачено 58,000 зараженных устройств. Вредоносное программное обеспечение также распространилось на более чем 3,000 смартфонов, планшетов, телевизионных приставок и некоторых автомобильных систем на базе Android. Согласно информации, распространение бэкдора началось в 2024 году, при этом хакеры в основном нацеливаются на пользователей из Бразилии и Индонезии, используя шаблоны португальского и индонезийского языков.
Жертвы сталкиваются с рекламой в мобильном приложении, которая перенаправляет их к фальшивым каталогам приложений с поддельными отзывами и промо-баннерами, рекламирующими бесплатные видеочаты и возможности знакомств.
Эти фальшивые веб-сайты предлагают приложения с вредоносным ПО, которые выглядят как законные. Кроме фальшивых веб-сайтов, бэкдор также проникает в известные сторонние репозитории, такие как APKPure, ApkSum и AndroidP, где он публикуется под именем официального разработчика мессенджера, несмотря на отличный цифровой подпись. Аналитики обнаружили, что вредоносное программное обеспечение обладает способностями к краже конфиденциальной информации, включая логины, пароли и полные истории чатов.
Бэкдор также скрывает признаки компрометации аккаунтов, устраняя из активных списков сеансов Telegram подключения сторонних устройств. Вредоносное ПО может удалять или добавлять своих жертв в каналы и чаты без их разрешения, полностью маскируя эти действия, превращая скомпрометированные аккаунты в инструменты для искусственного увеличения количества подписчиков в каналах Telegram. От обычных угроз Android его отличает использование базы данных Redis для командно-контрольных операций.
Ранее версии вредоносного программного обеспечения полагались на традиционные C2 серверы, но разработчики интегрировали команды на основе Redis. Бэкдор манипулирует функционалом мессенджера без обнаружения.
Для операций, которые не нарушают основных функций приложения, хакеры используют заготовленные зеркала методов мессенджера, которые являются отдельными блоками кода для специфических задач в архитектуре Android. Эти зеркала позволяют приложению отображать фишинговые сообщения в окнах, которые идеально имитируют интерфейсы оригинального Telegram X. Для других операций, которые требуют глубокой интеграции, вредоносное программное обеспечение использует фреймворк Xposed для модификации методов приложения, что позволяет скрывать конкретные чаты, скрывать авторизованные устройства и перехватывать содержимое буфера обмена.
Бэкдор использует Redis каналы и C2 серверы для получения расширенных команд, включая загрузку SMS, контактов и содержимого буфера обмена каждый раз, когда пользователь сворачивает или восстанавливает окно мессенджера. Мониторинг буфера обмена используется хакерами для кражи данных, таких как пароли криптокошельков, мнемонические фразы или конфиденциальная деловая переписка, которая случайно стала доступной.
Бэкдор собирает информацию о устройстве, данные установленных приложений, истории сообщений и токены аутентификации, передавая информацию хакерам каждые три минуты, одновременно поддерживая вид нормальной работы мессенджера Telegram.