Некоторое время назад Kaspersky Lab обнаружили в Google Play кучу модов для Telegram с описанием на традиционном китайском, упрощенном китайском и уйгурском языках. По словам производителя, это самые быстрые приложения, использующие распределенную сеть центров обработки данных по всему миру.
При запуске приложение ничем не отличается от оригинального Telegram.
Поначалу оно производит впечатление совершенно обычного Telegram-мода: большинство пакетов выглядят так же, как и стандартные. Но при ближайшем рассмотрении можно заметить пакет с названием com.wsys, что нехарактерно для Telegram. Посмотрим, какие функции вызывают методы этого пакета.
Список функций, вызывающих com.wsys, наводит на мысль, что этот кусок кода предназначен для получения доступа к контактам пользователя. Это выглядит, мягко говоря, подозрительно, учитывая, что данный пакет не входит в стандартный набор функций мессенджера.
Библиотека com.wsys работает в методе connectSocket(), добавленном в основной класс активности, отвечающий за стартовый экран приложения. Метод вызывается при запуске приложения или переходе на другую учетную запись. Он собирает такую информацию о пользователе, как имя, идентификатор пользователя и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ожидает пользователя при получении сообщения: в код обработки входящего сообщения злоумышленники добавили вызов метода uploadTextMessageToService.
Для сравнения: в чистой версии Telegram этот метод в той же области кода отсутствует.
При получении сообщения uploadTextMessageToService собирает его содержимое, название и ID чата/канала, а также имя и ID отправителя. Собранная информация шифруется и кэшируется во временный файл с именем tgsync.s3. Через определенные промежутки времени приложение отправляет этот временный файл на командный сервер.
Вредоносная функциональность приложения не ограничивается кражей сообщений. В код обработки контактов добавлен вызов метода uploadFriendData.
Метод используется для сбора информации о контактах пользователя: ID, псевдонимы, имена и номера телефонов. Все они отправляются на командный сервер практически одинаковым образом.
Если пользователь решит сменить имя или номер телефона, то и эта информация окажется в руках злоумышленников.
Когда пользователь получает или отправляет файл, приложение создает его зашифрованную копию, которая затем пересылается на аккаунт злоумышленников, расположенный в одном из популярных облачных хранилищ.
Indicators of Compromise
Domains
- sg.telegrnm.org
MD5
- 19f927386a03ce8d2866879513f37ea0
- 39df26099caf5d5edf264801a486e4ee
- 65377fa1d86351c7bd353b51f68f6b80
- 8e878695aab7ab16e38265c3a5f17970
- a0e197b9c359b89e48c3f0c01af21713
- b9e9a29229a10deecc104654cb7c71ae
- c7a8c3c78ac973785f700c537fbfcb00
- e0dab7efb9cea5b6a010c8c5fee1a285
- Efcbcd6a2166745153c329fd2d486b3a
