Для популярных мессенджеров, таких как Telegram, Signal и WhatsApp, существует довольно много альтернативных клиентов (не путать с клиентами, такими как (человеческие) клиенты ; с тем, кто выбрал этот запутанный язык, нужно хорошо поговорить). Такие модифицированные приложения, известные как моды, часто предоставляют пользователям функции и возможности, недоступные в официальных клиентах.
В то время как WhatsApp не одобряет моды — периодически запрещая их в официальных магазинах приложений, Telegram не только никогда не вел войну с альтернативными клиентами, но и активно поощряет их создание , поэтому моды для Telegram появляются как грибы. Но безопасны ли они?
Увы, несколько недавних исследований показывают, что с модами мессенджеров следует обращаться с большой осторожностью. Хотя большинство пользователей по-прежнему слепо доверяют любому приложению, проверенному и опубликованному в Google Play, мы неоднократно подчеркивали опасность: загружая приложение в Google Play, вы также можете подхватить трояна ( у него было более 100 миллионов загрузок). !), бэкдор , злонамеренный подписчик и/или куча другой гадости .
Это только что: зараженный Telegram на китайском и уйгурском языках в Google Play
Начнем с недавней истории. Наши эксперты обнаружили в Google Play несколько зараженных приложений под видом уйгурской, упрощенной и традиционной китайской версий Telegram. Описания приложения написаны на соответствующих языках и содержат изображения, очень похожие на изображения на официальной странице Telegram в Google Play.
Чтобы убедить пользователей скачивать эти моды вместо официального приложения, разработчик утверждает, что они работают быстрее других клиентов благодаря распределенной сети дата-центров по всему миру.
Версии Telegram на упрощенном, традиционном китайском и уйгурском языках в Google Play со шпионским ПО внутри
На первый взгляд эти приложения кажутся полноценными клонами Telegram с локализованным интерфейсом. Все выглядит и работает почти так же, как настоящее.
Мы заглянули в код и обнаружили, что приложения представляют собой немного измененные версии официального. Однако есть небольшое отличие, ускользнувшее от внимания модераторов Google Play: в зараженных версиях присутствует дополнительный модуль. Он постоянно следит за тем, что происходит в мессенджере, и отправляет на командный сервер создателей шпионских программ массу данных: все контакты, отправленные и полученные сообщения с прикрепленными файлами, названия чатов/каналов, имя и номер телефона владельца аккаунта. — практически вся переписка пользователя. Даже если пользователь меняет свое имя или номер телефона, эта информация также передается злоумышленникам.
Ранее: шпионские версии Telegram и Signal в Google Play.
Интересно, что недавно исследователи из ESET обнаружили еще одну шпионскую версию Telegram — FlyGram. Правда, этот даже не пытался претендовать на официальный статус. Вместо этого он позиционировал себя как альтернативный клиент Telegram (то есть просто мод) и попал не только в Google Play, но и в Samsung Galaxy Store.
Еще любопытнее то, что его создатели не ограничились имитацией только Telegram. В этих же магазинах они также опубликовали зараженную версию Signal, назвав ее Signal Plus Messenger. А для большей убедительности они даже создали веб-сайты Flygram[.]org и signalplus[.]org для своих фейковых приложений.
В Google Play для Signal также есть шпионский клиент под названием Signal Plus Messenger.
Внутри эти приложения представляли собой полноценные мессенджеры Telegram/Signal, открытый исходный код которых был сдобрен вредоносными добавками.
Таким образом FlyGram научился похищать контакты, историю звонков, список аккаунтов Google и другую информацию со смартфона жертвы, а также делать «резервные копии» переписки для хранения… где еще, как не на сервере злоумышленников (хотя этот «вариант» » пришлось активировать в модифицированном мессенджере самостоятельно пользователю).
В случае с Signal Plus подход был несколько иной. Вредоносная программа соскребла определенный объем информации со смартфона жертвы напрямую и позволила злоумышленникам незаметно войти в учетную запись жертвы в Signal с собственных устройств, после чего они смогли прочитать всю переписку практически в реальном времени.
FlyGram появился в Google Play в июле 2020 года и оставался там до января 2021 года, тогда как Signal Plus был опубликован в магазинах приложений в июле 2022 года и удален из Google Play только в мае 2023 года. В магазине Samsung Galaxy Store, по данным BleepingComputer, оба приложения по- прежнему находились будут доступны в конце августа 2023 года. Даже если они сейчас полностью исчезли из этих магазинов, сколько ничего не подозревающих пользователей продолжают использовать эти «быстрые и простые» моды для мессенджеров, которые раскрывают все их сообщения посторонним глазам?
Зараженные WhatsApp и Telegram подделывают адреса криптокошельков
А всего несколько месяцев назад те же исследователи безопасности обнаружили множество троянизированных версий WhatsApp и Telegram, нацеленных в первую очередь на кражу криптовалюты. Они работают путем подделки адресов криптокошельков в сообщениях, чтобы перехватить входящие переводы.
Зараженная версия WhatsApp (слева) подделывает адрес криптокошелька в сообщении получателю, у которого установлена официальная незараженная версия WhatsApp (справа).
Кроме того, некоторые из найденных версий используют распознавание изображений для поиска скриншотов, хранящихся в памяти смартфона, по сид-фразам — серии кодовых слов, с помощью которых можно получить полный контроль над криптокошельком , а затем опустошить его.
А некоторые из поддельных приложений Telegram похитили информацию профиля пользователя, хранящуюся в облаке Telegram: файлы конфигурации, номера телефонов, контакты, сообщения, отправленные/полученные файлы и так далее. По сути, они украли все пользовательские данные, кроме секретных чатов, созданных на других устройствах. Все эти приложения распространялись не в Google Play, а через различные фейковые сайты и каналы YouTube.
Как оставаться в безопасности
Напоследок несколько советов, как защититься от зараженных версий популярных мессенджеров, а также других угроз, нацеленных на пользователей Android:
- Как мы видели, даже Google Play не застрахован от вредоносных программ . Тем не менее, официальные магазины по-прежнему гораздо безопаснее, чем другие источники. Поэтому всегда используйте их для загрузки и установки приложений.
- Как стало понятно из этого поста, к альтернативным клиентам популярных мессенджеров следует относиться с особой осторожностью. Открытый исходный код позволяет любому создавать моды и наполнять их всевозможными неприятными сюрпризами.
- Прежде чем устанавливать даже самое официальное приложение из самого официального магазина, внимательно посмотрите на его страницу и убедитесь, что оно настоящее — обращайте внимание не только на название, но и на разработчика. Киберпреступники часто пытаются обмануть пользователей, создавая клоны приложений с описанием, похожим на оригинал.
- Неплохо читать негативные отзывы пользователей — если с приложением возникла проблема, скорее всего, кто-то уже заметил и написал об этом.
- И обязательно установите на все свои Android-устройства надежную защиту , которая предупредит вас, если вредоносное ПО попытается проникнуть.
- Если вы используете бесплатную версию Антивирусов, не забудьте вручную просканировать свое устройство после установки и перед первым запуском любого приложения.