آلوده شدن میلیون ها نفر با تلگرام های جاسوس افزار در گوگل پلی

به گزارش کارگروه امنیت خبرگزاری سایبربان، به گفته محقق امنیتی شرکت کسپرسکی، ایگور گولووین، این برنامه‌ها دارای ویژگی‌های بدی هستند تا نام‌ها، شناسه‌های کاربری، مخاطبین، شماره تلفن‌ها و پیام‌های چت را به یک سرور تحت کنترل عوامل مخرب ضبط و استخراج کنند.

این فعالیت توسط شرکت امنیت سایبری روسیه با نام رمز تلگرام شیطانی شناخته شده است.

این برنامه‌ها پیش از حذف شدن توسط گوگل، میلیون‌ها بار در مجموع دانلود شده‌اند.

آخرین برنامه موجود در لیست که "تلگرام - TG اویغور" ترجمه می شود، نشان دهنده تلاش آشکار برای هدف قرار دادن جامعه اویغور است.

شایان ذکر است که نام بسته مرتبط با نسخه پلی استور تلگرام «org.telegram.messenger» است، در حالی که نام بسته برای فایل APK که مستقیماً از وب‌سایت تلگرام دانلود می‌شود «org.telegram.messenger.web» است.

بنابراین، استفاده از «wab»، «wcb» و «wob» برای نام‌های بسته‌های مخرب، اتکای عامل تهدید به تکنیک‌های خطای تایپی را برجسته می‌کند تا به‌عنوان برنامه قانونی تلگرام شناخته شود و قابل مشاهده و رهگیری نباشند.

این شرکت گفت:

در نگاه اول، به نظر می‌رسد که این اپلیکیشن‌ها شبیه‌سازی‌های کامل تلگرام با رابط کاربری محلی هستند. همه چیز تقریباً مانند نرم افزار اصلی، واقعی به نظر می رسد و کار می کند؛ اما یک تفاوت کوچک وجود دارد که توجه ناظران گوگل پلی را از دست داده است: نسخه های آلوده یک ماژول اضافی را در خود جای داده اند

این افشاگری چند روز پس از آن صورت گرفته است که شرکت ایست (ESET) یک کمپین بدافزاری به نام بد بازار (BadBazaar) را که بازار رسمی اپلیکیشن‌ها را هدف قرار می‌داد، نشان داد که از یک نسخه مخرب تلگرام برای جمع‌آوری پشتیبان‌گیری از چت استفاده می‌کرده است.

اپلیکیشن‌های مشابه تلگرام و واتس‌اپ قبلاً توسط شرکت امنیت سایبری اسلواکی در مارس 2023 کشف شده بود که دارای عملکرد کلیپر برای رهگیری و تغییر آدرس‌های کیف پول در پیام‌های چت و هدایت انتقال ارزهای دیجیتال به کیف پول‌های متعلق به مهاجم بودند.