I ricercatori di Kaspersky hanno individuato sul Google Play Store diverse versioni modificate di Telegram, installate oltre 60.000 volte, che nascondevano spyware. Le app erano in lingua cinese e promettevano una connessione più veloce rispetto all’app ufficiale. Dopo aver ricevuto la segnalazione da Kaspersky, Google ha rimosso le app dallo store.
Spyware nascosto in app Telegram modificate
Le app modificate (il codice sorgente di Telegram è open source) sono identiche a quella ufficiale, sia in termine di design che di funzionalità. Dopo un’analisi approfondita del codice, gli esperti di Kaspersky hanno scoperto il pacchetto com.wsys
, non presente nel codice originario.
All’avvio delle app, quattro funzioni effettuano una chiamata ai metodi del pacchetto per accedere ai contatti dell’utente. I cybercriminali raccolgono inoltre nome, user ID e numero di telefono delle vittime, successivamente inviati al server remoto.
Nel codice che elabora i messaggi ricevuti è nascosta anche una funzione che invia il suo contenuto e il nome del mittente al server remoto. Lo spyware rileva inoltre le modifiche all’elenco dei contatti e i file ricevuti vengono inoltrati all’account cloud gestito dai cybercriminali.
Il nome del pacchetto scelto per le app fasulle è org.telegram.messenger.wab
oppure org.telegram.messenger.wob
, molto simile al nome dell’app legittima (org.telegram.messenger.web
). Google ha già rimosso le app dal Play Store e chiuso gli account degli sviluppatori. Purtroppo la pubblicazione di app infette sullo store è piuttosto frequente. A fine agosto, gli esperti di ESET avevano scoperto le app FlyGram e Signal Plus Messenger.