Millions Infected by Spyware Hidden in Fake Telegram Apps on Google Play
2023/09/09 TheHackerNews — Google Play ストアで Telegram を装い、侵害した Android デバイスから機密情報を収集するという、スパイウェアが発見された。Kaspersky のセキュリティ研究者である Igor Golovin によると、このアプリには、名前/ユーザー ID/連絡先/電話番号/チャット・メッセージなどを取得し、脅威アクターが管理するサーバーに流出させるという、悪質な機能が搭載されているという。
ロシアのサイバーセキュリティ企業である Kaspersky は、この活動を、コードネーム Evil Telegram と命名している。
このアプリは、Google が削除するまでに、数百万回ダウンロードされている。その詳細は以下の通りである。
- 電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – 10M ダウンロード以上
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – 50,000 ダウンロード以上
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50,000 ダウンロード以上
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10,000 ダウンロード以上
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100 ダウンロード以上
リストの最後のアプリは英訳すると “Telegram – TG Uyghur“ となり、ウイグル人コミュニティをターゲットにしたものであることが判る。
Telegram の Play Store バージョンに関連付けられているパッケージ名は “org.telegram.messenger” である。そして、Telegram の Web サイトから直接ダウンロードした APK ファイルのパッケージ名は、”org.telegram.messenger.web” であることに注意してほしい。
悪意のパッケージ名に “wab”/”wcb”/”wob” などが使用されていることから、脅威アクターが正規の Telegram アプリを装い、検知をかいくぐるためにタイポスクワッティング技術に依存していることがわかる。
Kaspersky は、「一見すると、これらのアプリはローカライズされたインターフェースを持つ、本物の Telegram のように見える。見た目も動作も、全てが本物とほぼ同じように感じられるが、Google Play のモデレーターの注意を逃れた小さな違いがある」と述べている。
今回の情報公開の数日前には、公式アプリ・マーケットプレイスを標的として、不正な Telegram を利用してチャットのバックアップを蓄積するマルウェア・キャンペーンである BadBazaar が、ESET から報告されている。
2023年3月に同社は、Telegram と WhatsApp を模倣した同様の攻撃を発見している。これらの攻撃で用いられたのは、チャットメッセージ内のウォレット・アドレスを窃取して改ざんし、暗号通貨の送金を攻撃者が所有するウォレットにリダイレクトする、クリッパー技術だとされている。
Telegram は、通信の秘匿を必要とする人々に利用されますが、フィッシングやスパイウェアにも悪用されやすいという側面を持っています。直近の記事として、2023/04/06 の「Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち」や、2023/01/12 の「Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増」などがあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.