Se ha detectado spyware que se hace pasar por versiones modificadas de Telegram en la tienda Google Play, diseñado para recopilar información sensible de dispositivos Android comprometidos.
Según el investigador de seguridad de Kaspersky, Igor Golovin, estas aplicaciones cuentan con funciones maliciosas para capturar y enviar a un servidor controlado por actores nombres, IDs de usuario, contactos, números de teléfono y mensajes de chat.
La actividad ha sido denominada "Evil Telegram" por la empresa de ciberseguridad rusa.
Estas aplicaciones fueron descargadas colectivamente millones de veces antes de ser retiradas por Google. Sus detalles son los siguientes segun sus firmas, siendo la gran mayorÃa del continente asático.
(org.telegram.messenger.wab) - Más de 10 millones de descargas.
(org.telegram.messenger.wab) - Más de 50,000 descargas.
(org.telegram.messenger.wob) - Más de 50,000 descargas.
(org.tgcn.messenger.wob) - Más de 10,000 descargas.
La última aplicación de la lista se traduce como "Telegram - TG Uyghur," lo que indica un claro intento de dirigirse a la comunidad uigur.
Vale la pena señalar que el nombre del paquete asociado con la versión de Telegram en la Play Store es "org.telegram.messenger", mientras que el nombre del paquete para el archivo APK descargado directamente desde el sitio web de Telegram es "org.telegram.messenger.web".
El uso de "wab", "wcb" y "wob" en los nombres de paquete maliciosos resalta la dependencia del actor de amenazas en técnicas de typosquatting para hacerse pasar por la aplicación legÃtima de Telegram y pasar desapercibido.
"A primera vista, estas aplicaciones parecen ser clones completos de Telegram con una interfaz localizada", dijo la empresa. "Todo parece y funciona casi igual que la cosa real. [Pero] hay una pequeña diferencia que escapó a la atención de los moderadores de Google Play: las versiones infectadas albergan un módulo adicional".
Esta revelación llega dÃas después de que ESET revelara una campaña de malware BadBazaar dirigida a la tienda oficial de aplicaciones que utilizaba una versión falsa de Telegram para recopilar copias de seguridad de chats.
La compañÃa de ciberseguridad eslovaca ya habÃa descubierto aplicaciones similares de imitación de Telegram y WhatsApp en marzo de 2023 que estaban equipadas con funcionalidad de clipper para interceptar y modificar direcciones de monedero en mensajes de chat y redirigir transferencias de criptomonedas a monederos controlados por atacantes.
¿Quieres saber más?