Lepiej usuń to z telefonu. Ten komunikator jest niebezpieczny
Korzystasz z komunikatora Telegram? Lepiej miej się na baczności, w sieci pojawiła się jego fałszywa wersja ze złośliwym kodem.
Telegram mimo pewnych kontrowersji cieszy się niesłabnącą popularnością – na całym świecie aktywnie korzysta z niego 950 mln użytkowników, w tym także Polacy.
Tę popularność starają się po raz kolejny wykorzystać przestępcy. W sieci pojawiła się fałszywa wersja komunikatora dystrybuowana jako Telegram Premium. Choć Telegram Premium to dodatkowy, płatny pakiet usług, a nie osobna wersja aplikacji, co sugeruje jej nazwa, na pobranie pliku i jego instalację mogą się skusić ci, którzy liczą, że dzięki temu otrzymają więcej niż w darmowej wersji konta Telegram.
Fałszywy Telegram Premium (Telegram Premium.apk) dystrybuowany jest poprzez serwis GitHub, a stworzona w tym celu strona udaje RuStore, czyli rosyjski sklep z aplikacjami, uruchomiony w 2022 przez grupę VK jako alternatywę dla Google Play. Chociaż trudno podejrzewać, by Polacy z pełnym zaufaniem instalowali pliki APK z takiego miejsca, to jednak niektórzy mogą się skusić, tym bardziej że opis na stronie jest po angielsku. Co więcej, ten sam, zainfekowany plik Telegram Premium.apk może wkrótce powędrować w świat i trafiać na inne strony z aplikacjami.
Fałszywy Telegram instaluje spyware FireScam
A jakie dokładnie zagrożenie wiąże się z fałszywym Telegramem? Jak ostrzegają badacze z Cyfirma, pod tym plikiem w rzeczywistości kryje się droppper GetAppsRu.apk – czyli rodzaj trojana, którego zadaniem jest instalacja bez wiedzy użytkownika innego oprogramowania – w tym konkretnym przypadku jest to spyware FireScam. W systemie aplikacja będzie widoczna jako Telegram Premium.
Po zainstalowaniu FireScam zyskuje dostęp do ważnych danych użytkownika – może czytać wiadomości SMS, a także dane poszczególnych aplikacji. Co więcej, FireScam monitoruje działania urządzenia, takie jak zmiany stanu ekranu, płatności on-line, kopiowanie danych do schowka czy różne zachowania użytkownika – wszystko to jest gromadzone w tymczasowej bazie danych Firebase Realtime Database do dalszego wykorzystania przez cyberprzestępców.
Złośliwy soft przechwytuje również powiadomienia z innych aplikacji, w tym aplikacji systemowych, co również daje oszustom okazje, by wykraść poufne informacje i śledzić działania użytkownika. Działając w modelu command-and-control, FireScam komunikuje się ze zdalnym serwerem i może ładować do pamięci zainfekowanego urządzenia kolejne moduły. Wszystko to może prowadzić do wykradzenia poufnych danych i pieniędzy ofiary.
Co ciekawe, malware udające Telegram Premium potrafi także się chronić przed wykryciem przez aplikacje antywirusowe i analizami badaczy od bezpieczeństwa. Dropper GetAppsRu.apk jest zabezpieczony przed analizą i inżynierią wsteczną poprzez szyfrowanie, zaciemnianie, ukrywanie szczegółów czy puste klasy w kodzie. Po zainstalowaniu trojan przeprowadza również kontrolę w celu ustalenia, czy działa w wyizolowanym środowisku analitycznym lub zwirtualizowanym, czy w prawdziwym urządzeniu ofiary. W zależności od wyniku badania zachowuje się inaczej. Profilując urządzenie, dropper może zoptymalizować swój atak, dostosowując swoje zachowanie do konkretnego środowiska i ominąć środki bezpieczeństwa, by zapewnić powodzenie całej operacji.
