Milioni di dispositivi Android sono stati compromessi da un spyware nascosto in versioni modificate dell’app di messaggistica Telegram disponibili sul Google Play Store. Queste app malevole, scoperte dai ricercatori di sicurezza di Kaspersky, erano progettate per raccogliere e trasmettere dati sensibili, come nomi, ID utente, contatti, numeri di telefono e messaggi di chat, a un server controllato dagli attaccanti.
Dettagli delle app infette
Le app infette sono state scaricate milioni di volte prima che Google le rimuovesse dal Play Store. Ecco alcuni dettagli sulle app compromesse e il numero di download:
- 電報,紙飛機-TG繁體中文版 o 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – oltre 10 milioni di download
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – oltre 50.000 download
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – oltre 50.000 download
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – oltre 10.000 download
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – oltre 100 download
L’ultima app nella lista, che si traduce in “Telegram – TG Uyghur”, sembra essere un chiaro tentativo di prendere di mira la comunità Uyghur.
Tecniche di typosquatting
Gli attaccanti hanno utilizzato tecniche di typosquatting, sfruttando nomi di pacchetti simili a quelli dell’app Telegram originale per eludere i controlli e infiltrarsi nel Play Store. Ad esempio, mentre il nome del pacchetto associato alla versione Play Store di Telegram è “org.telegram.messenger”, il nome del pacchetto per il file APK scaricato direttamente dal sito web di Telegram è “org.telegram.messenger.web”. I nomi dei pacchetti malevoli, come “wab”, “wcb” e “wob”, evidenziano la dipendenza degli attaccanti da queste tecniche per passare inosservati.
Ulteriori informazioni
Al primo sguardo, queste app sembrano versioni complete di Telegram con un’interfaccia localizzata, funzionando quasi allo stesso modo dell’app originale. Tuttavia, contengono un modulo aggiuntivo malevolo che è sfuggito all’attenzione dei moderatori del Google Play. Questa scoperta arriva poco dopo che ESET ha rivelato una campagna di malware “BadBazaar” che sfruttava una versione rogue di Telegram per accumulare backup delle chat.