דיגיטל וטק
זהירות: גרסה טרויאנית של טלגרם מאפשרת לרגל אחריכם
מחקר חדש של חוקרי אבטחת המידע ESET חושף: האפליקציה הזדונית מאפשרת הקלטת שיחות, גישה ליומן שיחות, רשימות אנשי קשר והודעות מאפליקציות שונות
חוקרי חברת אבטחת המידע ESET זיהו גרסה טרויאנית של אפליקציית טלגרם המאפשרת ריגול אחר המשתמשים. התוקפים האחראים לגרסה הזדונית של האפליקציה, מציגים אותה למשתמשים כאפליקציית "shagale" המשמשת לוידאו צ'ט למבוגרים.
בין תכונות הריגול של האפליקציה הזדונית: הקלטת שיחות טלפון, גישה ל-SMSים, צפיה ביומן השיחות, רשימות אנשי הקשר ועוד. מדובר במודולים זדוניים אשר מתועדים בפעם הראשונה. קורבן אשר נתן את ההרשאות לאפליקציה, יאפשר לתוקף גישה להודעות הנכנסות מ-17 אפליקציות נוספות כמו Viber, Skype, Gmail, Messenger וטינדר.
בניגוד לאתר Shagle האמיתי שאינו מציע אפליקציה רשמית לנייד כדי לגשת לשירותיו, האתר שמציגים התוקפים מספק רק אפליקציית אנדרואיד להורדה, ללא אפשרות סטרימינג מבוססת אינטרנט. אפליקציית טלגרם טרויאנית מעולם לא הייתה זמינה בחנות הרשמית Google Play.
הקוד הזדוני, הפונקציונליות שלו, השמות והאישורים המשמש לחתימה על קובץ ה-APK, זהים לקמפיין הקוד, לפיכך, ESET מאמינים בביטחון גבוה שפעולה זו שייכת לקבוצת StrongPity. ניתוח קוד גילה כי הדלת האחורית היא מודולרית ומודולים בינאריים נוספים יורדים משרת C&C. משמעות הדבר היא שניתן לשנות את מספר וסוג המודולים שבהם נעשה שימוש בכל עת כך שיתאימו לבקשות הקמפיין כאשר הם מופעלים על ידי קבוצת StrongPity.
"במהלך המחקר שלנו, הגרסה של הנוזקה מהאתר המתחזה כבר לא הייתה פעילה וכבר לא ניתן היה להתקין ולהפעיל בהצלחה את פונקציונליות הדלת האחורית שלה. הסיבה לכך היא ש-StrongPity לא השיגה מזהה API משלה עבור אפליקציית הטלגרם הטרויאנית שלה. אבל זה עשוי להשתנות בכל עת אם התוקפים יחליטו לעדכן את האפליקציה הזדונית", אומר לוקאש שטפנקו, חוקר ESET שניתח את אפליקציית Telegram הטרויאנית.
הגרסה הארוזה מחדש של טלגרם משתמשת באותו שם כמו אפליקציית טלגרם הלגיטימית. סט הכלים הקבצים והתוכנות אמורים להיות מזהים ייחודיים עבור כל אפליקציית Android וחייבים להיות ייחודיים בכל מכשיר נתון. המשמעות היא שאם אפליקציית הטלגרם הרשמית כבר מותקנת במכשיר של קורבן פוטנציאלי, לא ניתן להתקין את הגרסה הזו בדלת האחורית.
עוד ב-
"זה יכול להיות אחד משני דברים - או ששחקן האיום מתקשר תחילה עם קורבנות פוטנציאליים ודוחף אותם להסיר את Telegram מהמכשירים שלהם אם הוא מותקן, או שהקמפיין מתמקד במדינות שבהן השימוש בטלגרם לא נפוץ", מוסיף שטפנקו.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה