Google gỡ bỏ loạt malware giả ứng dụng Telegram

Theo The Hacker News, phần mềm gián điệp giả mạo phiên bản sửa đổi của Telegram đã được phát hiện trong cửa hàng Google Play, chúng được phát triển để thu thập thông tin từ các thiết bị Android bị xâm nhập.

Igor Golovin (Kaspersky) chuyên gia bảo mật của Kaspersky cho biết, các ứng dụng giả mạo được thiết kế để thu thập dữ liệu người dùng, ID, danh bạ, số điện thoại, tin nhắn… và gửi đến máy chủ do tin tặc kiểm soát. Hoạt động này đã được công ty an ninh mạng Nga đặt tên mã là Evil Telegram.

Các ứng dụng này đã được tải xuống tổng cộng hàng triệu lần trước khi bị Google gỡ xuống.

Điều đáng chú ý là tên gói được liên kết với phiên bản Play Store của Telegram là "org.telegram.messenger", trong khi tên gói cho tệp APK được tải xuống trực tiếp từ trang web của Telegram là "org.telegram.messenger.web."

Do đó, việc sử dụng "wab", "wcb" và "wob" cho các tên gói độc hại cho thấy những ứng dụng này đang mạo danh ứng dụng Telegram hợp pháp.

Kaspersky cho biết thoạt đầu những ứng dụng này dường như là bản sao hoàn chỉnh của ứng dụng nhắn tin bảo mật với giao diện được thay đổi phù hợp từng quốc gia. Nhưng có một khác biệt nhỏ mà người kiểm duyệt Google Play không chú ý là các phiên bản bị nhiễm chứa một mô-đun bổ sung.

Thông tin của Kaspersky được đưa ra vài ngày sau khi ESET tiết lộ chiến dịch liên quan đến phần mềm độc hại BadBazaar (giả mạo ứng dụng Telegram và Signal), được thiết kế để đánh cắp tin nhắn điện thoại mà người dùng không hề hay biết. Các ứng dụng bắt chước Telegram và WhatsApp đã bị công ty an ninh mạng Slovakia phát hiện vào tháng 3/2023, được trang bị chức năng clipper để chặn và sửa đổi địa chỉ ví trong tin nhắn và chuyển hướng chuyển tiền điện tử sang ví do tin tặc kiểm soát.