Des logiciels espions se faisant passer pour des versions modifiées de Telegram ont été repérés dans le Google Play Store, conçus pour collecter des informations sensibles sur des appareils Android compromis.
Selon Igor Golovin, chercheur en sécurité chez Kaspersky, les applications sont livrées avec caractéristiques néfastes pour capturer et exfiltrer les noms, les identifiants d’utilisateur, les contacts, les numéros de téléphone et les messages de discussion vers un serveur contrôlé par un acteur.
L’activité a été nommée Télégramme maléfique par la société russe de cybersécurité.
Les applications ont été téléchargées collectivement des millions de fois avant d’être supprimées par Google. Leurs détails sont les suivants –
- 電報,紙飛機-TG繁體中文版 ou 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – plus de 10 millions de téléchargements
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – plus de 50 000 téléchargements
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50 000+ téléchargements
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10 000+ téléchargements
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100+ téléchargements
La dernière application de la liste se traduit par « Telegram – TG Uyghur », indiquant une tentative claire de cibler la communauté ouïghoure.
Il convient de noter que le nom du package associé à la version Play Store de Telegram est « org.telegram.messenger », alors que le nom du package pour le fichier APK directement téléchargé depuis Le site de Telegram est « org.telegram.messenger.web ».
L’utilisation de « wab », « wcb » et « wob » pour les noms de paquets malveillants met donc en évidence le recours de l’acteur malveillant aux techniques de typosquatting afin de se faire passer pour l’application Telegram légitime et de passer inaperçu.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
« À première vue, ces applications semblent être de véritables clones de Telegram avec une interface localisée », explique l’entreprise. dit. « Tout ressemble et fonctionne presque de la même manière que la réalité. [But] il y a une petite différence qui a échappé à l’attention des modérateurs de Google Play : les versions infectées abritent un module supplémentaire : »
Cette divulgation intervient quelques jours après qu’ESET a révélé une campagne de malware BadBazaar ciblant le marché d’applications officiel et qui exploitait une version malveillante de Telegram pour collecter des sauvegardes de chat.
Des applications similaires Telegram et WhatsApp ont été découvertes par la société de cybersécurité slovaque en mars 2023, équipées d’une fonctionnalité de clipper pour intercepter et modifier les adresses de portefeuille dans les messages de discussion et rediriger les transferts de crypto-monnaie vers des portefeuilles appartenant à des attaquants.