UPDATE 11.09.2023. Компания Google сообщила, что все приложения удалены из Google Play
Некоторое время назад мы обнаружили в Google Play несколько модов Telegram с описанием на уйгурском, китайском традиционном и упрощенном языках. Разработчик называет свои приложения самыми быстрыми и отмечает, что они используют распределенную сеть центров обработки данных, расположенных по всему миру.
Разве что-то может быть не так c модом Telegram, прошедшим проверки Google Play и доступным пользователям магазина? К сожалению, правильный ответ — может: злоумышленники не только находят способы проникнуть в Google Play, но и продают свои наработки. Поэтому мы решили изучить модификацию мессенджера.
При запуске приложение ничем не отличается от оригинального Telegram.
Но давайте на всякий случай заглянем в код.
На первый взгляд обычная модификация Telegram: большинство пакетов приложения похожи на стандартные пакеты мессенджера. Однако если приглядеться внимательнее, можно увидеть нетипичный для Telegram пакет com.wsys. Посмотрим, откуда вызываются методы этого пакета.
Список функций, вызывающих com.wsys, указывает на то, что этот код хочет получить доступ к контактам пользователя. Учитывая, что пакет не входит в стандартную функциональность мессенджера, это выглядит крайне подозрительно.
Библиотека com.wsys запускается в методе connectSocket(), добавленном в класс главной активности, которая отвечает за стартовый экран приложения. Этот метод вызывается при запуске приложения или смене аккаунта. В нем собирается информация о пользователе: имя, ID, номер телефона, после чего приложение подключается к командному серверу.
Следующая неприятность ждет пользователя при получении сообщения: злоумышленники добавили вызов метода uploadTextMessageToService в код обработки входящих сообщений.
Для сравнения: тот же участок кода в чистой версии Telegram не содержит этого метода.
Метод uploadTextMessageToService при получении сообщения собирает его содержимое, название и ID чата или канала, имя и ID отправителя. Вся информация шифруется и кэшируется во временном файле tgsync.s3. Этот временный файл приложение периодически отправляет на командный сервер.
На краже сообщений вредоносная функциональность приложения не заканчивается. В код обработки контактов злоумышленники добавили вызов метода uploadFriendData.
В этом методе собирается информация о контактах пользователя: ID, никнейм, имя и номер телефона. Все это также отправляется на командный сервер.
Если пользователь решит поменять имя или номер телефона, то эта информация тоже отправится к злоумышленникам.
В случае если пользователь получает и отправляет какой-либо файл, приложение создает его зашифрованную копию, которая затем загружается в аккаунт злоумышленников в одном из известных облачных хранилищ.
Заключение
В последнее время растет число атак с использованием различных неофициальных модификаций Telegram. Часто злоумышленники промышляют заменой адресов криптокошельков в сообщениях пользователя или навязчивой рекламой. В отличие от таких модов, описанные в этой статье приложения представляют собой полноценное шпионское ПО, похищающее всю переписку жертвы, его личные данные и контакты и нацеленное на пользователей из определенной страны (Китая). При этом код приложений лишь незначительно отличается от оригинального кода Telegram и смог пройти проверки безопасности Google Play.
Как видите, публикация приложения в официальном магазине не гарантирует его безопасность, поэтому мы советуем пользователям с осторожностью относиться к сторонним модификациям мессенджеров, даже если они скачаны из Google Play. Мы сообщили об угрозе в Google, однако некоторые приложения на момент написания статьи были все еще доступны для скачивания.
IOC
Md5
39df26099caf5d5edf264801a486e4ee
b9e9a29229a10deecc104654cb7c71ae
e0dab7efb9cea5b6a010c8c5fee1a285
Efcbcd6a2166745153c329fd2d486b3a
8e878695aab7ab16e38265c3a5f17970
65377fa1d86351c7bd353b51f68f6b80
19f927386a03ce8d2866879513f37ea0
a0e197b9c359b89e48c3f0c01af21713
c7a8c3c78ac973785f700c537fbfcb00
Злой двойник Telegram атакует китайских пользователей