Модифицированные приложения для Telegram и Signal представляют собой серьезную угрозу безопасности. Эти мессенджеры популярны во всем мире благодаря их стремлению защищать конфиденциальность пользователей, простоте использования и множеству полезных функций.
Однако всегда находятся пользователи, желающие получить больше от своих приложений. Рост числа нерегулируемых модификаций Signal и Telegram с дополнительными функциями привлек значительное количество пользователей, что и используют киберпреступники для распространения вредоносного ПО.
Модификации приложений (моды) сами по себе не являются чем-то злонамеренным. Программное обеспечение обычно модифицируют технические энтузиасты, сторонние разработчики и поклонники, которые считают, что базовая версия приложения либо не имеет необходимых функций, либо содержит лишние элементы, ухудшающие его работу.
Некоторые компании негативно относятся к модификациям и стараются пресекать их использование. Однако есть и такие, которые поддерживают разработчиков, создающих собственные версии или модификации своих приложений.
Здесь начинается самое интересное: киберпреступники поняли, что существует рынок модификаций приложений, и начали использовать его для распространения вредоносного ПО. Именно это произошло с некоторыми клонами Telegram, как выяснила компания Kaspersky в сентябре 2023 года. В августе 2023 года ESET обнаружила, что злоумышленники также создают фейковые модификации Signal для шпионажа за ничего не подозревающими пользователями.
Фейковые модификации Telegram появились в Google Play под видом приложений на традиционном китайском, уйгурском и упрощенном китайском языках. Разработчики сделали все, чтобы казаться убедительными, используя изображения, похожие на те, что использует Telegram на своих официальных каналах, а описания приложений были написаны на упомянутых языках. Модификация рекламировалась как более быстрая и легкая версия Telegram.
Казалось, что это легитимная модификация, похожая на те, которые Telegram сам поощряет. Но была существенная разница: фейковое приложение имело радикально другой код, позволяющий его создателям шпионить за пользователями. Те, кто установил этот мод, подвергли опасности свои контакты, сообщения, файлы, имена и номера телефонов.
В случае с Signal злоумышленники использовали немного другой подход. Они разработали модификацию под названием Signal Plus Messenger и создали фейковый веб-сайт для придания легитимности. Вредоносное ПО в этом моде было еще более опасным, так как оно позволило злоумышленникам войти в учетные записи Signal целевых пользователей.
Обе модификации являются шпионским ПО, типом вредоносного ПО, предназначенного для сбора информации о цели без ее ведома или согласия.
Компании ESET считают, что за обеими модификациями стоит одна и та же хакерская группа GREF, связанная с китайским правительством и распространяющая вредоносный код, известный как BadBazaar.
Согласно отчету ESET, одна из основных причин распространения этих вредоносных модификаций — шпионаж за этническими меньшинствами в Китае.
Фейковые приложения позже были удалены из Google Play и Samsung Galaxy Store, но вред уже был нанесен. Вероятно, они были загружены тысячами людей по всему миру, чьи личные данные теперь находятся в руках китайского правительства.
Есть и другие мошенники, распространяющие модификации с шпионским ПО, в основном ради финансовой выгоды. Но как эти вредоносные приложения попали в крупные и уважаемые магазины приложений? У Google есть модераторы, чья работа — выявлять вредоносный код.
Отчет Google за июль объясняет, что злоумышленники обходят меры безопасности через версионирование. Сначала они создают вполне легитимные модификации, а затем внедряют вредоносное ПО через обновление. Очевидно, что все обновления также должны проверяться Google перед утверждением, но компания явно сталкивается с трудностями в борьбе с вредоносным ПО.
Хотя эти конкретные модификации Signal и Telegram больше не доступны в Google Play и Samsung Galaxy Store, это мало что значит, так как они, скорее всего, появятся снова. Даже если не эти, то другие фейковые модификации займут их место.
Чтобы защитить себя, нужно уметь отличать настоящие приложения от фейковых, легитимные модификации от тех, которые содержат вредоносное ПО.
Модифицированные приложения могут предоставить пользователям новые возможности, но также могут представлять угрозу безопасности. Это не значит, что нужно полностью избегать модифицированных версий популярных приложений, но необходимо принимать дополнительные меры предосторожности.
Signal и Telegram значительно опережают другие мессенджеры по уровню безопасности и конфиденциальности. Для большинства людей они достаточно хороши в своей базовой версии.
Добавить комментарий