2023: В официальные магазины приложений Google и Samsung попали фальшивые копии Telegram со встроенным вирусом. Их скачивают пользователи по всему миру
30 августа 2023 года компания Eset, специализирующаяся на вопросах информационной безопасности, сообщила о том, что через официальные магазины приложений Google Play и Samsung Galaxy Store, а также специализированные веб-сайты распространяются поддельные приложения Telegram и Signal со встроенными шпионскими функциями. Опасные программы загрузили тысячи пользователей по всему миру.
Фальшивые версии в дополнение к стандартным возможностям приложений названных мессенджеров имеют добавленный злоумышленниками вредоносный код. Зловреды получили названия FlyGram и Signal Plus Messenger: первый распространяется с июля 2020 года, второй — с июля 2022-го. Расследование показало, что поддельные приложения скачали пользователи в Австралии, Бразилии, Дании, Демократической Республике Конго, Германии, Гонконге, Венгрии, Литве, Нидерландах, Польше, Португалии, Сингапуре, Испании, Украине, США, Йемене и др.
Вредоносный код из семейства BadBazaar был скрыт в поддельных программах Signal и Telegram, которые имеют весь привычный функционал, а шпионаж происходит в фоновом режиме, — рассказывает Лукаш Штефанко, исследователь ESET. |
В случае с фальшивым приложением Telegram с вредоносным кодом FlyGram жертва должна войти в систему, как этого требует официальная платформа. Еще до завершения подключения зловред начинает обмениваться данными с командным сервером и BadBazaar получает возможность перехватывать конфиденциальную информацию с устройства. Прокси-сервер злоумышленника может регистрировать некоторые метаданные, но не способен расшифровать сообщения, которыми обмениваются в самом Telegram.
В свою очередь, в Signal Plus Messenger после входа в систему вредоносный код может шпионить за сообщениями, несанкционированно используя функцию «Связанные устройства». Это делается путем автоматического подключения скомпрометированного гаджета к системе злоумышленника. Такой метод шпионажа, как отмечается, уникален, поскольку исследователи ESET ранее не фиксировали использование соответствующей функции киберпреступниками.[1]