Поддельные приложения Telegram распространяются через домены 607 в ходе новой атаки вредоносного ПО для Android

Согласно новому исследованию PreCrime Labs компании BforeAI, новая вредоносная кампания обманным путём заставляет пользователей Android загружать поддельные приложения Telegram с сотен вредоносных доменов. Эта операция, активизировавшаяся в последние недели, использует поддельные веб-сайты, перенаправления по QR-кодам и модифицированный APK-файл с опасными разрешениями и функциями удалённого выполнения.

Группа по анализу угроз выявила 607 доменов, связанных с кампанией. Все они выдают себя за официальные страницы загрузки Telegram, большинство из которых зарегистрировано через регистратора Gname и размещено в Китае. Некоторые сайты используют доменные имена, такие как teleqram, telegramapp, и telegramdl для имитации бренда, ориентируясь на пользователей, которые могут не заметить незначительных изменений в написании.

Согласно сообщению в блоге BforeAI, опубликованному на Hackread.com во вторник, жертвам предлагается загрузить то, что похоже на приложение Telegram Messenger, с помощью ссылок или QR-кодов.

Исследователи также обнаружили две версии APK-файла: размером 60 и 70 МБ. После установки приложение выглядит как настоящее, но незаметно предоставляет широкие разрешения и позволяет удалённо выполнять команды.

Примечательно, что фишинговые сайты, используемые в этой кампании, выглядят как личные блоги или неофициальные фан-страницы. Типичный пример — перенаправление пользователей на zifeiji(.)asia , сайт, оформленный в стиле фавикона, кнопок загрузки и цветов Telegram. Заголовки страниц заполнены SEO-фразами на китайском языке, например, «Загрузка официального сайта Paper Plane», что, по-видимому, является попыткой улучшить видимость в результатах поиска, отвлекая пользователей от истинного предназначения приложения.

Вредоносный APK-файл подписан устаревшей схемой подписи v1, что делает его уязвимым к уязвимости Janus , которая затрагивает Android версий от 5.0 до 8.0. Janus позволяет злоумышленникам вставлять вредоносный код в легитимный APK-файл, не изменяя его подпись. В этом случае вредоносная программа сохраняет действительную подпись, что позволяет ей обходить стандартные методы обнаружения.

Попав на устройство, приложение использует протоколы с открытым текстом (HTTP, FTP) и широко использует внешние хранилища. Оно также включает код, взаимодействующий с MediaPlayer, и использует сокеты для получения и выполнения удалённых команд. Этот уровень контроля может быть использован для мониторинга активности, кражи файлов или запуска дальнейших атак.

К вашему сведению, уязвимость Janus ( CVE-2017-13156 ) — это серьезная уязвимость безопасности устройств Android, которая позволяет злоумышленникам изменять легитимные файлы APK или DEX, не меняя их криптографическую подпись, в результате чего вредоносные приложения выглядят как надежные и неизмененные.

Один из ключевых выводов связан с деактивированной базой данных Firebase по адресу tmessages2(.)firebaseio(.)com , ранее использовавшейся злоумышленниками. Хотя исходная база данных отключена, исследователи предупреждают, что любой злоумышленник, зарегистрировавший новый проект Firebase под тем же именем, может легко восстановить её.

Старые версии вредоносного ПО, зашитые в эту конечную точку, автоматически подключались к новой базе данных, контролируемой злоумышленником. Такая тактика продлевает эффективность кампании, даже если исходные операторы уйдут.

Вредоносная инфраструктура также использует отслеживающий JavaScript, например, ajs.js , размещённый на telegramt(.)net . Скрипт собирает данные об устройстве и браузере, отправляет их на удалённый сервер и содержит закомментированный код для отображения плавающего баннера загрузки, ориентированного на пользователей Android. Эта настройка предназначена для повышения скорости установки за счёт автоматического определения устройств и адаптации пользовательского опыта.

Разбивка домена

Из 607 доменов использование доменов верхнего уровня было следующим:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

Большое количество регистраций в .com свидетельствует о преднамеренных усилиях по повышению доверия, в то время как использование недорогих доменов способствует широкому распространению.

To reduce the risk of exposure, BforeAI suggests that organisations take a few key precautions. First, set up automated domain monitoring to catch suspicious or lookalike site registrations before they become active. It's also important to scan APK files, URLs, and related hash values using multiple threat intelligence sources to confirm whether they're safe.

Там, где это возможно, заблокируйте доставку вложений APK или SVG , особенно если эти типы файлов не нужны для бизнеса. Наконец, убедитесь, что пользователи обучаются, чтобы избежать загрузки приложений с неофициальных сайтов, даже если страница выглядит законной или имитирует известный бренд.

Фишинговые методы стали сложными, и эта кампания показывает, как лет, как лет, такие как Janus, все еще можно использовать против ничего не подозревающих пользователей. Использование QR -кодов, опечаток и перепрофилированных облачных сервисов добавляет уровень сложности, который больше делает простую фильтрацию.