Kyberzločinci zneužívajú Telegram na krádež četovej komunikácie

Kyberzločinci na nás číhajú doslova na každom kroku a predbiehajú sa v tom, aby nám ukázali, čo všetko sa dá ukradnúť, zneužiť a najmä speňažiť.

Posledný dôkaz prináša ESET, ktorý odhalil nepríjemnú kampaň zneužívajúcu aplikáciu Telegram. Tá síce nie je u nás masovo rozšírená, ale aj tak ju na Slovensku používajú už desaťtisíce ľudí.

O čo ide?

Experti v ESET-e zistili, že skupina známa ako StrongPity zneužíva plne funkčnú aplikáciu Telegram. Tá je upravená tak, aby špehovala používateľa. K takto skompromitovanej aplikácii sa dá dostať výlučne z falošnej stránky napodobňujúcej web Shagle.

Backdoor z dielne StrongPity disponuje viacerými špionážnymi schopnosťami. Má 11 dynamicky spustiteľných modulov, tie dokážu nahrávať telefonické hovory či zbierať SMS správy, zoznamy hovorov a kontaktov.

Ak udelíte škodlivej aplikácii prístup k hláseniam a službám dostupnosti, malvér získa prístup k prichádzajúcim notifikáciám zo 17 aplikácií. Ide napríklad o Viber, Skype, Gmail, Messenger a Tinder. Malvér dokáže tiež kradnúť chatovú komunikáciu z ostatných aplikácií.

ESET uvádza, že ide o prvý prípad, pri ktorom boli popísané moduly a ich funkcionality verejne zdokumentované. Kybernetická kampaň je zrejme veľmi úzko cielená, keďže telemetria ESET-u doposiaľ nezaznamenala žiadne obete.

Analýza kódu ukázala, že backdoor je modulárny a dodatočné binárne moduly sú sťahované z riadiaceho servera. To znamená, že počet a typ použitých modulov sa môže kedykoľvek meniť v závislosti od potrieb skupiny StrongPity.

Ako zistíte, ktorú verziu Telegramu máte?

Na rozdiel od skutočnej služby Shagle, ktorá funguje výlučne ako webstránka a neponúka na stiahnutie oficiálnu mobilnú aplikáciu, falošná stránka ponúka na stiahnutie podvodnú Telegram appku a neumožňuje streamovanie cez webovú stránku. Táto skompromitovaná verzia aplikácie Telegram pritom nie je dostupná v obchode Google Play.

Na obrázku dole vidíte porovnanie skutočnej stránky Shagle s falošnou.

Ak ste teda sťahovali Telegram štandardne z Google Play, nemali by ste sa obávať. V prípade, že využívate iOS, problém s fejkovou webstránkou a inštaláciou napadnutého Telegramu sa vás netýka.

Skompromitovaná verzia Telegramu používa ten istý názov balíka ako legitímna aplikácia Telegram. Názvy balíkov by mali byť unikátne identifikátory pre každú Android aplikáciu a musia byť jedinečné pre každé zariadenie. Ak teda máte oficiálnu aplikáciu Telegram už nainštalovanú, backdoor nedokáže byť nainštalovaný.

Podľa Lukáša Štefanka, výskumníka, ktorý analyzoval skompromitovanú aplikáciu Telegram, sa to dá vysvetliť dvoma spôsobmi: „Buď útočník najprv komunikuje s potenciálnou obeťou a tlačí ju do odinštalovania aplikácie Telegram z jej zariadenia, ak ju už má nainštalovanú. Druhou možnosťou je, že sa kampaň zameriava na krajiny, kde je Telegram používaný na komunikáciu len zriedka.“