Модификации приложений Telegram и Signal представляют собой проблему безопасности, которая может случиться в любой момент. Signal и Telegram - два из самых популярных в мире безопасных мессенджера; они обеспечивают защиту конфиденциальности пользователя, легки в использовании и обладают множеством удобных функций.
Но люди всегда хотят больше от своих приложений. Рост нерегулируемых модификаций приложений Signal и Telegram с дополнительными функциями привлек значительное количество пользователей, что киберпреступники используют для распространения вредоносных программ и не только.
Что такое модификации приложений? Модификации приложений - не inherently зловещая идея. Программное обеспечение обычно модифицируют технические энтузиасты, сторонние разработчики и фанаты. Или, другими словами, люди, которые считают, что базовая версия приложения либо лишена определенных функциональностей, либо имеет ненужные возможности, которые мешают его производительности.
Некоторые компании по отношению к этой концепции относятся негативно и делают все возможное, чтобы пресекать модифицированные версии своих продуктов. Однако другие не противятся этой идее и поддерживают разработчиков в создании собственных клиентов или модифицированных версий того же приложения.
Как работает шпионское ПО в клонированных приложениях Telegram и Signal? Вот где начинается зловещее: киберпреступники поняли, что существует рынок для модификаций приложений, и используют его для распространения вредоносного ПО. Это именно то, что происходит с некоторыми клонами Telegram, как было обнаружено кибербезопасной фирмой Kaspersky, которая опубликовала свои результаты в сентябре 2023 года. Компания ESET, с другой стороны, обнаружила в августе 2023 года, что злоумышленники также создают фальшивые моды Signal для шпионажа за ничего не подозревающими пользователями.
Фальшивые моды Telegram появились в Google Play в версиях на традиционном китайском, уйгурском и упрощенном китайском языках. Злонамеренный разработчик по-настоящему постарался, чтобы выглядеть убедительно, использовав изображения, подобные тем, которые использует Telegram на своих официальных каналах, а описания приложения были написаны на указанных выше языках. Мод рекламировался как более быстрая, легкая версия Telegram.
В общем, это казалось абсолютно законной модификацией, аналогичной тем, которые Telegram сам поддерживает и поощряет разработчиков создавать. Но было существенное различие: фальшивое приложение Telegram имело радикально отличный код, позволяя его создателям шпионить за теми, кто скачивает и использует его. Те, кто допустил ошибку установки этой модификации, имели свои контакты, сообщения, файлы, имена и номера телефонов подвергнутыми риску. Вся эта информация отправлялась злоумышленнику по мере использования людьми приложения. В отношении Signal злоумышленники подошли к делу немного по-другому. Они создали мод с именем Signal Plus Messenger и создали фальшивый веб-сайт, чтобы выглядеть более законным. Вредоносное ПО, обнаруженное в фальшивой моде Signal, было, вероятно, более опасным, чем в фальшивом приложении Telegram, поскольку оно позволяло создателям войти в учетную запись цели.
Обе модификации можно классифицировать как шпионское ПО, тип вредоносного ПО, предназначенного для сбора информации о цели без ее согласия и ведома.
ESET и Kaspersky считают, что за обеими модификациями стояла одна и та же хакерская группа GREF, а также несколько других вредоносных приложений. Сообщается, что группа имеет связи с китайским правительством и обычно распространяет вредоносный код, идентифицированный как BadBazaar.
Почему эти приложения Telegram и Signal включают шпионское ПО? Почему они распространяют эти вредоносные модификации? Согласно отчету ESET, одной из основных причин является шпионаж за этническими меньшинствами в Китае.
Фальшивые приложения позже были удалены из Google Play Store и Samsung Galaxy Store, но ущерб уже был нанесен. Можно с уверенностью предположить, что они были скачаны тысячами людей (не только в Китае), чьи личные данные были подвергнуты риску и, вероятно, попали в руки китайского правительства.
Правда, есть и другие мошенники, распространяющие модификации с шпионским ПО, в основном из финансовых мотивов. Настоящий вопрос заключается в том, как эти вредоносные приложения попали в два крупных и уважаемых магазина приложений в первую очередь? Разве у этих магазинов нет модераторов, чья задача - выявлять вредоносный код?
Доклад Google за июль [PDF] предоставил объяснение, утверждая, что исследователи компании обнаружили, что злоумышленники обходят средства безопасности с помощью версий. Это означает, что они изначально создают абсолютно легитимные модификации, а затем внедряют вредоносные программы с помощью обновления. Очевидно, что все обновления также должны анализироваться Google перед одобрением, но, вероятно, компании трудно избавиться от вредоносных программ в своем магазине приложений.
Как остаться в безопасности от фальшивых приложений Signal и Telegram То, что эти конкретные модификации Signal и Telegram больше не доступны в Google Play Store и Samsung Galaxy Store, не означает многого, так как вполне вероятно, что они вновь появятся в какой-то форме. Даже если этого не произойдет, их место займут другие фальшивые модификации.
Чтобы остаться в безопасности, вам нужно знать, как отличить настоящие и фальшивые приложения, легитимные моды и те, которые содержат вредоносные программы.
Добавить комментарий