Большинство модификаций Telegram и Signal — это шпионское ПО, и вот как их выявить

Модификации приложений Telegram и Signal представляют собой проблему безопасности, которая может случиться в любой момент. Signal и Telegram - два из самых популярных в мире безопасных мессенджера; они обеспечивают защиту конфиденциальности пользователя, легки в использовании и обладают множеством удобных функций.

Но люди всегда хотят больше от своих приложений. Рост нерегулируемых модификаций приложений Signal и Telegram с дополнительными функциями привлек значительное количество пользователей, что киберпреступники используют для распространения вредоносных программ и не только.

Что такое модификации приложений? Модификации приложений - не inherently зловещая идея. Программное обеспечение обычно модифицируют технические энтузиасты, сторонние разработчики и фанаты. Или, другими словами, люди, которые считают, что базовая версия приложения либо лишена определенных функциональностей, либо имеет ненужные возможности, которые мешают его производительности.

Некоторые компании по отношению к этой концепции относятся негативно и делают все возможное, чтобы пресекать модифицированные версии своих продуктов. Однако другие не противятся этой идее и поддерживают разработчиков в создании собственных клиентов или модифицированных версий того же приложения.

Как работает шпионское ПО в клонированных приложениях Telegram и Signal? Вот где начинается зловещее: киберпреступники поняли, что существует рынок для модификаций приложений, и используют его для распространения вредоносного ПО. Это именно то, что происходит с некоторыми клонами Telegram, как было обнаружено кибербезопасной фирмой Kaspersky, которая опубликовала свои результаты в сентябре 2023 года. Компания ESET, с другой стороны, обнаружила в августе 2023 года, что злоумышленники также создают фальшивые моды Signal для шпионажа за ничего не подозревающими пользователями.

Фальшивые моды Telegram появились в Google Play в версиях на традиционном китайском, уйгурском и упрощенном китайском языках. Злонамеренный разработчик по-настоящему постарался, чтобы выглядеть убедительно, использовав изображения, подобные тем, которые использует Telegram на своих официальных каналах, а описания приложения были написаны на указанных выше языках. Мод рекламировался как более быстрая, легкая версия Telegram.

В общем, это казалось абсолютно законной модификацией, аналогичной тем, которые Telegram сам поддерживает и поощряет разработчиков создавать. Но было существенное различие: фальшивое приложение Telegram имело радикально отличный код, позволяя его создателям шпионить за теми, кто скачивает и использует его. Те, кто допустил ошибку установки этой модификации, имели свои контакты, сообщения, файлы, имена и номера телефонов подвергнутыми риску. Вся эта информация отправлялась злоумышленнику по мере использования людьми приложения. В отношении Signal злоумышленники подошли к делу немного по-другому. Они создали мод с именем Signal Plus Messenger и создали фальшивый веб-сайт, чтобы выглядеть более законным. Вредоносное ПО, обнаруженное в фальшивой моде Signal, было, вероятно, более опасным, чем в фальшивом приложении Telegram, поскольку оно позволяло создателям войти в учетную запись цели.

Обе модификации можно классифицировать как шпионское ПО, тип вредоносного ПО, предназначенного для сбора информации о цели без ее согласия и ведома.

ESET и Kaspersky считают, что за обеими модификациями стояла одна и та же хакерская группа GREF, а также несколько других вредоносных приложений. Сообщается, что группа имеет связи с китайским правительством и обычно распространяет вредоносный код, идентифицированный как BadBazaar.

Почему эти приложения Telegram и Signal включают шпионское ПО? Почему они распространяют эти вредоносные модификации? Согласно отчету ESET, одной из основных причин является шпионаж за этническими меньшинствами в Китае.

Фальшивые приложения позже были удалены из Google Play Store и Samsung Galaxy Store, но ущерб уже был нанесен. Можно с уверенностью предположить, что они были скачаны тысячами людей (не только в Китае), чьи личные данные были подвергнуты риску и, вероятно, попали в руки китайского правительства.

Правда, есть и другие мошенники, распространяющие модификации с шпионским ПО, в основном из финансовых мотивов. Настоящий вопрос заключается в том, как эти вредоносные приложения попали в два крупных и уважаемых магазина приложений в первую очередь? Разве у этих магазинов нет модераторов, чья задача - выявлять вредоносный код?

Доклад Google за июль [PDF] предоставил объяснение, утверждая, что исследователи компании обнаружили, что злоумышленники обходят средства безопасности с помощью версий. Это означает, что они изначально создают абсолютно легитимные модификации, а затем внедряют вредоносные программы с помощью обновления. Очевидно, что все обновления также должны анализироваться Google перед одобрением, но, вероятно, компании трудно избавиться от вредоносных программ в своем магазине приложений.

Как остаться в безопасности от фальшивых приложений Signal и Telegram То, что эти конкретные модификации Signal и Telegram больше не доступны в Google Play Store и Samsung Galaxy Store, не означает многого, так как вполне вероятно, что они вновь появятся в какой-то форме. Даже если этого не произойдет, их место займут другие фальшивые модификации.

Чтобы остаться в безопасности, вам нужно знать, как отличить настоящие и фальшивые приложения, легитимные моды и те, которые содержат вредоносные программы.

1. Исследуйте разработчика Перед загрузкой модифицированного приложения проведите некоторые исследования о людях, стоящих за ним. Они законны? Кто они? Поддерживаются ли их деятельность оригинальным разработчиком?
2. Проверьте оценки и отзывы Всегда хорошая идея посмотреть, что говорят другие люди, и посмотреть на оценки и отзывы. Это не беспроигрышная стратегия, но она может помочь вам определить, безопасна ли модификация, которую вы хотите скачать.
3. Избегайте сторонних магазинов приложений Как общее правило, вы не должны загружать программное обеспечение из сторонних магазинов приложений или случайных веб-сайтов. У Google Play Store может быть свои проблемы, но у него также есть определенные защитные меры и является более безопасным вариантом. Тем не менее существует несколько уважаемых сайтов для безопасной загрузки APK.
4. Просмотрите разрешения приложения Приложения, такие как Signal и Telegram, ориентированы на конфиденциальность, и они никогда не будут запрашивать необычные разрешения. Однако вредоносное модифицированное приложение может. Чтобы проверить, запрашивает ли подозрительное приложение необычные разрешения, перейдите в Settings > Apps, найдите нужное приложение и коснитесь его. В противном случае удерживайте приложение на вашем домашнем экране и выберите App Info > Permissions. Из-за различий в том, как Android работает на разных устройствах, имена меню и процессы могут немного различаться, но процесс будет схожим.
5. Используйте антивирусное программное обеспечение Даже если вы допустили ошибку, загрузив модифицированное приложение с вредоносным ПО, антивирусное программное обеспечение может вас защитить. Существует несколько бесплатных приложений антивирусного программного обеспечения для Android, которые справятся с этой задачей.