Alcuni cloni dannosi di Telegram per Android, regolarmente presenti su Google Play, sono stati installati più in totale di 60.000 volte.
Queste app malevole, attraverso la diffusione di spyware, hanno ottenuto ampio spazio di manovra sui dispositivi infettati: si parla di furto di messaggi, elenchi di contatti e altre informazioni sensibili. Nonostante le app sembrino essere focalizzate sul mercato cinese, non è dato sapere se queste possano giungere anche in occidente.
I cloni sono stati scoperti da Kaspersky che ha prontamente segnalato il tutto a Google. In questo momento, però, solo parte delle app malevoli sono state effettivamente rimosse dallo store.
Secondo i rapporti della società, famosa per la produzione di uno degli antivirus più famosi sul mercato, le app vengono proposte agli utenti come alternative più veloci rispetto al classico Telegram.
Cloni dannosi di Telegram: la dichiarazione di Google in merito
Gli analisti hanno riferito che le app sono apparentemente identiche a quella originale software di messaggistica, ma contengono funzioni aggiuntive nel codice per rubare dati ai dispositivi.
Nello specifico, c’è un pacchetto aggiuntivo denominato com. wsys che accede ai contatti dell’utente e raccoglie anche il nome utente, l’ID utente e il numero di telefono della vittima.
Quando l’utente riceve un messaggio tramite l’app trojanizzata, lo spyware ne invia una copia direttamente al server di comando e controllo (C2) dell’operatore su un apposito sito controllato dagli hacker. I dati esfiltrati, che vengono crittografati prima della trasmissione, contengono tutti i dati relativi a contenuto e mittente dello stesso.
Va notato che i cloni dannosi di Telegram utilizzavano i nomi di pacchetto “org.telegram.messenger.wab” e “org.telegram.messenger.wob“, mentre l’app legittima di Telegram ha come nome di pacchetto “org.telegram.messenger“.
In seguito all’accaduto, Google ha rilasciato una dichiarazione al sito BleepingComputer “Prendiamo sul serio le rivendicazioni di sicurezza e privacy nei confronti delle app e, se scopriamo che un’app ha violato le nostre politiche, adottiamo le misure appropriate. Tutte le app segnalate sono state rimosse da Google Play e gli sviluppatori sono stati bannati. Anche gli utenti sono protetti. da Google Play Protect, che può avvisare gli utenti o bloccare app note per mostrare comportamenti dannosi sui dispositivi Android con Google Play Services“.