Новости В сети распространяется заражённая версия Telegram

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.711
Репутация
53.102
Реакции
52.781
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Заминированный самолётик берёт на себя полный контроль над устройством.

image


Исследователи ESET заявили, что APT-группа StrongPity атакует пользователей Android с помощью троянизированной версии приложения Telegram, которая распространяется через поддельный сайт, имитирующий сервис видеочата Shagle.

Кибершпионская группировка StrongPity (APT-C-41 и Promethium) действует как минимум с 2012 года и нацелена на жертв в Сирии, Турции, Африке, Азии, Европе и Северной Америке.

В обнаруженной кампании киберпреступники распространяют среди пользователей Android бэкдор, который способен:
  • записывать телефонные звонки;
  • отслеживать местоположение устройства;
  • просматривать SMS-сообщения, журнал вызовов, контакты и файлы;
  • собирать входящие сообщения из соцсетей и почтовых клиентов (для этого приложение запрашивает разрешение для доступа к службам специальных возможностей (Accessibility Services);
  • загружать дополнительные компоненты с удаленного сервера управления и контроля (C&C).

Запрашиваемые разрешения вредоносного приложения

Зараженная версия Telegram была доступна для загрузки 25 февраля 2022 года. В этот же день был зарегистрирован вредоносный домен. На данный момент поддельный веб-сайт Shagle не активен, но есть признаки того, что эта активность является узконаправленной из-за отсутствия данных телеметрии.


Легитимный сайт Shagle (слева) и его фишинговая копия (справа)

Примечательно то, что поддельная версия Telegram использует то же имя пакета, что и настоящее приложение. Поэтому установка вредоносной версии прекращается на устройстве, на котором уже загружено легитимное приложение Telegram.

По словам экспертов ESET, либо злоумышленник сначала общается с потенциальной жертвой и убеждает её удалить Telegram, либо хакеры фокусируются на странах, где Telegram редко используется.

Ранее в 2021 году StrongPity распространяла вредоносное ПО для Android через электронный портал правительства Сирии.
Это был первый известный случай использования группировкой Android-вредоносов.




 
Сверху Снизу