Clones falsos de Telegram infectan 60.000 usuarios desde Play Store
Varios clones falsos de Telegram para Android en Google Play descargados más de 60,000 veces, acaban infectando a los usuarios con spyware que roba mensajes de usuario, listas de contactos, conversaciones y otros datos del usuario.
Las aplicaciones, diseñadas para usuarios de habla china y la minoría étnica uigur, sugiere posibles vínculos con los conocidos mecanismos de monitoreo y represión estatales documentados.
Las aplicaciones fueron descubiertas por Kaspersky, quienes las reportaron a Google. Sin embargo, en el momento en que los investigadores publicaron su informe, varias de estas aplicaciones todavía estaban disponibles para su descarga en Google Play.
Telegram con un toque de troyano
Las aplicaciones falsas de Telegram listadas en los informes de Kaspersky aseguraban ser alternativas «más rápidas» que la propia aplicación oficial. Estos clones tenían una interfaz de usuario idéntica a la aplicación original. Motivo suficiente para hacer creer a más de 60.000 usuarios que no había nada malo de qué preocuparse.
Los analistas de seguridad de Kaspersky a la hora de «destripar» y ver el interior del código de estas aplicaciones, se encontraron con un paquete adicional llamado ‘com.wsys’, que tiene la capacidad de acceder al contenido de los contactos, a los datos de identificación del dispositivo, y número de teléfono del usuario.
informan que las aplicaciones son aparentemente iguales a la versión original de Telegram, pero contienen funciones adicionales en el código para robar datos.
Además de llevarse los datos antes mencionados, todos los chats que se escribían a través de la propia aplicación maliciosa, también quedaban registrados. Todos estos datos se enviaban periódicamente a un servidor detrás del dominio : sg[.]telegrnm[.]org
Por si esto no fuera poco, la aplicación requería seguir funcionando de fondo, esperando algún cambio en la lista de contactos o números de teléfono, para volver a registrar los nuevos datos y subirlos al servidor. Los datos registrados se cifraban antes de enviarse al servidor.
En el código anterior se puede apreciar, entre otros, los datos registrados a partir de los chats internos de la aplicación. Se registra tanto los datos identificativos de los usuarios y sus números de teléfono, como el propio texto intercambiado en el chat. Eso nos dice que todas esas aplicaciones carecen de cifrado de punto a punto, o de doble clave.
Estas aplicaciones falsas de Telegram utilizaban nombres de paquete como: ‘org.telegram.messenger.wab’ y ‘org.telegram.messenger.wob’, mientras que la aplicación legítima de Telegram tiene un nombre de paquete ‘org.telegram.messenger.web’.
Google ya ha retirado todas estas aplicaciones de la Play Store y ha hecho un comunicado declarando lo siguiente:
«Tomamos muy en serio las afirmaciones de seguridad y privacidad contra las aplicaciones, y si encontramos que una aplicación ha violado nuestras políticas, tomamos las medidas apropiadas. Todas las aplicaciones reportadas han sido eliminadas de Google Play y los desarrolladores han sido prohibidos. Los usuarios también están protegidos por Google Play Protect, que puede advertir a los usuarios o bloquear aplicaciones conocidas por exhibir comportamientos maliciosos en dispositivos Android con Google Play Services.»
Google en ‘BleepingComputer’
A finales del mes pasado, ESET también advirtió sobre dos aplicaciones de mensajería equipadas con funciones de troyano. Estas aplicaciones eran ‘Signal Plus Messenger’ y ‘FlyGram’, promocionadas también como versiones alternativas con ‘más funciones’ que la propia aplicación original ‘Signal’ y ‘Telegram’.
Estas aplicaciones, que ya han sido eliminadas de Google Play y la Samsung Galaxy Store, contenían un malware conocido como BadBazaar (una especie de ‘Pegasus’ de origen chino), que permitía a sus operadores espiar a sus objetivos.
A principios de este año, ESET descubrió una veintena de sitios web clonados de Telegram y WhatsApp que distribuían versiones troyanizadas de las populares aplicaciones de mensajería, también dirigidas a usuarios de habla china.
De modo general, se recomienda siempre a los usuarios que utilicen las versiones genuinas de las aplicaciones de mensajería y eviten descargar aplicaciones derivadas que prometen una mayor privacidad, velocidad u otras características.
Google una vez más ha tenido dificultades para detectar y frenar este tipo de aplicaciones, principalmente porque los desarrolladores introducen el código malicioso a través de actualizaciones posteriores a la revisión inicial de la app.
En julio, el gigante tecnológico presentó una estrategia para implementar un sistema de verificación empresarial en la tienda Google Play a partir del 31 de agosto de 2023, con el objetivo de mejorar la seguridad de los usuarios de Android.»
vía : tinyurl.com/2p9dz3ya