Se han detectado spyware disfrazados de versiones modificadas de Telegram en Google Play Store, que está diseñada para recopilar información confidencial de dispositivos Android comprometidos.
Según el investigador de seguridad de Kaspersky, Igor Golovin, las aplicaciones vienen con características maliciosas para capturar y filtrar nombres, ID de usuario, contactos, números de teléfono y mensajes de chat a un servidor controlado por actores maliciosos.
La actividad ha sido llamada Evil Telegram por la compañía rusa de ciberseguridad.
Las aplicaciones se han descargado colectivamente millones de veces antes de que Google las eliminara. Sus detalles son los siguientes:
- 電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – 10 million+ downloads
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – 50,000+ descargas
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50,000+ descargas
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10,000+ descargas
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100+ descargas
La última aplicación en la lista se traduce como “Telegram – TG Uyghur”, lo que indica un claro intento de atacar a la comunidad uigur.
Vale la pena señalar que el nombre del paquete asociado con la versión de Play Store de Telegram es “org.telegram.messenger”, mientras que el nombre del paquete para el archivo APK descargado directamente del sitio web de Telegram es “org.telegram.messenger.web”.
El uso de “wab”, “wcb” y “wob” para los nombres de paquetes maliciosos, por lo tanto, destaca la dependencia del actor de amenazas en las técnicas de typosquatting para pasar como la aplicación legítima de Telegram y pasar desapercibida.
“A primera vista, estas aplicaciones parecen ser clones completos de Telegram con una interfaz localizada”, dijo la compañía. “Todo se ve y funciona casi igual que el real. [Pero] hay una pequeña diferencia que escapó a la atención de los moderadores de Google Play: las versiones infectadas albergan un módulo adicional:
La revelación se produce días después de que ESET revelara una campaña de malware BadBazaar dirigida al mercado oficial de aplicaciones que aprovechó una versión deshonesta de Telegram para acumular copias de seguridad de chat.
Aplicaciones similares de imitación de Telegram y WhatsApp fueron descubiertas por la firma de ciberseguridad eslovaca anteriormente en marzo de 2023 que venía equipada con la funcionalidad de clipper para interceptar y modificar direcciones de billetera en mensajes de chat y redirigir transferencias de criptomonedas a billeteras propiedad de atacantes.
