Большинство модификаций Telegram и Signal являются шпионским ПО: как это обнаружить

Модифицированные приложения для Telegram и Signal представляют собой серьезную угрозу безопасности. Эти мессенджеры популярны во всем мире благодаря их стремлению защищать конфиденциальность пользователей, простоте использования и множеству полезных функций.

Однако всегда находятся пользователи, желающие получить больше от своих приложений. Рост числа нерегулируемых модификаций Signal и Telegram с дополнительными функциями привлек значительное количество пользователей, что и используют киберпреступники для распространения вредоносного ПО.

Что такое модификации приложений?

Модификации приложений (моды) сами по себе не являются чем-то злонамеренным. Программное обеспечение обычно модифицируют технические энтузиасты, сторонние разработчики и поклонники, которые считают, что базовая версия приложения либо не имеет необходимых функций, либо содержит лишние элементы, ухудшающие его работу.

Некоторые компании негативно относятся к модификациям и стараются пресекать их использование. Однако есть и такие, которые поддерживают разработчиков, создающих собственные версии или модификации своих приложений.

Как работает шпионское ПО в клонах Telegram и Signal?

Здесь начинается самое интересное: киберпреступники поняли, что существует рынок модификаций приложений, и начали использовать его для распространения вредоносного ПО. Именно это произошло с некоторыми клонами Telegram, как выяснила компания Kaspersky в сентябре 2023 года. В августе 2023 года ESET обнаружила, что злоумышленники также создают фейковые модификации Signal для шпионажа за ничего не подозревающими пользователями.

Фейковые модификации Telegram появились в Google Play под видом приложений на традиционном китайском, уйгурском и упрощенном китайском языках. Разработчики сделали все, чтобы казаться убедительными, используя изображения, похожие на те, что использует Telegram на своих официальных каналах, а описания приложений были написаны на упомянутых языках. Модификация рекламировалась как более быстрая и легкая версия Telegram.

Казалось, что это легитимная модификация, похожая на те, которые Telegram сам поощряет. Но была существенная разница: фейковое приложение имело радикально другой код, позволяющий его создателям шпионить за пользователями. Те, кто установил этот мод, подвергли опасности свои контакты, сообщения, файлы, имена и номера телефонов.

В случае с Signal злоумышленники использовали немного другой подход. Они разработали модификацию под названием Signal Plus Messenger и создали фейковый веб-сайт для придания легитимности. Вредоносное ПО в этом моде было еще более опасным, так как оно позволило злоумышленникам войти в учетные записи Signal целевых пользователей.

Обе модификации являются шпионским ПО, типом вредоносного ПО, предназначенного для сбора информации о цели без ее ведома или согласия.

Компании ESET считают, что за обеими модификациями стоит одна и та же хакерская группа GREF, связанная с китайским правительством и распространяющая вредоносный код, известный как BadBazaar.

Почему эти приложения Telegram и Signal содержат шпионское ПО?

Согласно отчету ESET, одна из основных причин распространения этих вредоносных модификаций — шпионаж за этническими меньшинствами в Китае.

Фейковые приложения позже были удалены из Google Play и Samsung Galaxy Store, но вред уже был нанесен. Вероятно, они были загружены тысячами людей по всему миру, чьи личные данные теперь находятся в руках китайского правительства.

Есть и другие мошенники, распространяющие модификации с шпионским ПО, в основном ради финансовой выгоды. Но как эти вредоносные приложения попали в крупные и уважаемые магазины приложений? У Google есть модераторы, чья работа — выявлять вредоносный код.

Отчет Google за июль объясняет, что злоумышленники обходят меры безопасности через версионирование. Сначала они создают вполне легитимные модификации, а затем внедряют вредоносное ПО через обновление. Очевидно, что все обновления также должны проверяться Google перед утверждением, но компания явно сталкивается с трудностями в борьбе с вредоносным ПО.

Как защититься от фейковых приложений Signal и Telegram

Хотя эти конкретные модификации Signal и Telegram больше не доступны в Google Play и Samsung Galaxy Store, это мало что значит, так как они, скорее всего, появятся снова. Даже если не эти, то другие фейковые модификации займут их место.

Чтобы защитить себя, нужно уметь отличать настоящие приложения от фейковых, легитимные модификации от тех, которые содержат вредоносное ПО.

1. Исследуйте разработчика Перед загрузкой модифицированного приложения найдите информацию о разработчиках. Являются ли они легитимными? Поддерживает ли их деятельность оригинальный разработчик?
2. Проверьте рейтинги и отзывы Всегда полезно проверить, что говорят другие пользователи, и посмотреть на рейтинги и отзывы. Это не стопроцентная защита, но может помочь определить безопасность модификации.
3. Избегайте сторонних магазинов приложений Не загружайте программное обеспечение из сторонних магазинов приложений или случайных сайтов. Google Play Store имеет определенные меры защиты и является гораздо более безопасным вариантом.
4. Проверьте разрешения приложения Такие приложения, как Signal и Telegram, заботятся о конфиденциальности и никогда не запрашивают необычные разрешения. Вредоносная модификация может это сделать. Проверьте разрешения, перейдя в "Настройки" > "Приложения", найдите подозрительное приложение и нажмите на него. Или долгим нажатием на значок приложения выберите "Информация о приложении" > "Разрешения".
5. Используйте программное обеспечение безопасности Даже если вы случайно загрузили приложение с шпионским ПО, программное обеспечение безопасности может вас защитить. Существует множество бесплатных антивирусных приложений для Android, которые справятся с этой задачей.

Будьте осторожны с модифицированными приложениями

Модифицированные приложения могут предоставить пользователям новые возможности, но также могут представлять угрозу безопасности. Это не значит, что нужно полностью избегать модифицированных версий популярных приложений, но необходимо принимать дополнительные меры предосторожности.

Signal и Telegram значительно опережают другие мессенджеры по уровню безопасности и конфиденциальности. Для большинства людей они достаточно хороши в своей базовой версии.