Новости Telegram как минное поле: новая угроза для пользователей Android

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
В новой версии Telegram обнаружено мощное вредоносное ПО.

image



Специалисты Check Point Software Technologies обнаружили поддельную версию приложения Telegram, которая при установке заражает Android-устройства вредоносным ПО Triada.

Вредоносное приложение Telegram работает путем повышения привилегий в системе, чтобы развернуть вредоносное ПО. Это может быть достигнуто, если пользователь предоставляет приложению разрешения во время процесса регистрации. Как только доступ предоставлен, вредоносное ПО самостоятельно внедряется в другие процессы, что позволяет ему выполнять вредоносные действия.


Работа поддельной версии Telegram

Вредоносная версия приложения Telegram, содержащая Triada ( ), искусно замаскирована под последнюю версию Telegram 9.2.1. Чтобы модифицированная версия выглядела легитимной, злоумышленники использовали имя пакета (org.telegram.messenger), которое напоминает подлинное приложение, и его настоящий значок.

При первом запуске приложения пользователю отображается окно входа в систему, которое точно воспроизводит домашнюю страницу исходного приложения. Чтобы продолжить регистрацию, пользователю предлагается ввести свой номер телефона и предоставить определённые разрешения устройства.

Затем вредоносное приложение внедряет вредоносный код в устройство под видом внутренней службы обновления приложений. Действуя скрытно в фоновом режиме, вредоносная программа инициирует свои вредоносные действия, которые включают сбор информации об устройстве, извлечение файлов конфигурации и установление каналов связи.

Triada работает незаметно для пользователя. После попадания на устройство троян находится в оперативной памяти и внедряется почти в каждый рабочий процесс. В основном Triada распространяется через приложения, устанавливаемые пользователями из ненадежных источников.

Исследователи Check Point описали различные операции, которые может выполнять вредоносное ПО Triada. К ним относятся:




  • оформление для жертвы нескольких платных подписок;
  • показ невидимой и фоновой рекламы;
  • совершение несанкционированных покупок в приложении с использованием SMS и телефонных номеров;
  • кража конфиденциальных данных и паролей.



Ранее Аналитики Лаборатории Касперского о обнаружили новую версию неофициального клиента WhatsApp для Android под названием «YoWhatsApp», которая перехватывает ключи WhatsApp, позволяя злоумышленнику контролировать учетные записи пользователей. Эти ключи можно использовать в open-source утилитах для выполнения действий от имени пользователя без оригинального клиента.

В последнее время исследователи отмечают рост модифицированных версий мобильных приложений. Модифицированные приложения привлекают пользователей новыми функциями и дополнительными настройками по низким ценам. Однако после загрузки такие приложения запускают вредоносное ПО на устройство пользователя. Опасность установки поддельных версий связана с тем, что пользователю неизвестно, какой код был добавлен в кодовую базу приложения и имеет ли он какой-то злой умысел.










 
Специалисты Check Point Software Technologies обнаружили поддельную версию приложения Telegram, которая заражает Android-устройства вредоносным ПО Triada. Вредоносная версия маскирована под последнюю официальную версию Telegram и использует имя пакета и значок, аналогичные подлинному приложению. После установки и предоставления необходимых разрешений, вредоносное приложение внедряет вредоносный код в устройство и выполняет различные вредоносные действия, включая оформление платных подписок, показ рекламы, несанкционированные покупки, кражу данных и паролей. Это еще один случай, когда модифицированные версии мобильных приложений используются злоумышленниками для распространения вредоносного ПО. Пользователям следует быть осторожными и устанавливать приложения только из доверенных источников.
 
Сверху Снизу