כ"ד כסלו התשפ"ה
25.12.2024
למה היא מסוגלת

נחשף: גרסת טלגרם מאפשרת ריגול אחר משתמשים

מחקר חדש חושף גרסה טרויאנית של טלגרם שמאפשרת ריגול אחר המשתמשים | האפליקציה הזדונית מאפשרת הקלטת שיחות, גישה ליומן שיחות, רשימות אנשי קשר והודעות מאפליקציות שונות

נחשף: גרסת טלגרם מאפשרת ריגול אחר משתמשים
אילוסטרציה צילום: pixabay

חוקרי חברת אבטחת המידע ESET זיהו גרסה טרויאנית של אפליקציית טלגרם המאפשרת ריגול אחר המשתמשים. התוקפים האחראים לגרסה הזדונית של האפליקציה, מציגים אותה למשתמשים כאפליקציית 'shagale' המשמשת לוידאו צ'ט.

בין תכונות הריגול של האפליקציה הזדונית: הקלטת שיחות טלפון, גישה ל-SMSים, צפיה ביומן השיחות, רשימות אנשי הקשר ועוד. מדובר במודולים זדוניים אשר מתועדים בפעם הראשונה. קורבן אשר נתן את ההרשאות לאפליקציה, יאפשר לתוקף גישה להודעות הנכנסות מ-17 אפליקציות נוספות כמו Viber, Skype, Gmail, Messenger.

בניגוד לאתר Shagle האמיתי שאינו מציע אפליקציה רשמית לנייד כדי לגשת לשירותיו, האתר שמציגים התוקפים מספק רק אפליקציית אנדרואיד להורדה, ללא אפשרות סטרימינג מבוססת אינטרנט. אפליקציית טלגרם טרויאנית מעולם לא הייתה זמינה בחנות הרשמית Google Play.

אילוסטרציה. צילום: אנספלש.

הקוד הזדוני, הפונקציונליות שלו, השמות והאישורים המשמש לחתימה על קובץ ה-APK, זהים לקמפיין הקוד, לפיכך, ESET מאמינים בביטחון גבוה שפעולה זו שייכת לקבוצת StrongPity. ניתוח קוד גילה כי הדלת האחורית היא מודולרית ומודולים בינאריים נוספים יורדים משרת C&C. משמעות הדבר היא שניתן לשנות את מספר וסוג המודולים שבהם נעשה שימוש בכל עת כך שיתאימו לבקשות הקמפיין כאשר הם מופעלים על ידי קבוצת StrongPity.

"במהלך המחקר שלנו, הגרסה של הנוזקה מהאתר המתחזה כבר לא הייתה פעילה וכבר לא ניתן היה להתקין ולהפעיל בהצלחה את פונקציונליות הדלת האחורית שלה. הסיבה לכך היא ש-StrongPity לא השיגה מזהה API משלה עבור אפליקציית הטלגרם הטרויאנית שלה. אבל זה עשוי להשתנות בכל עת אם התוקפים יחליטו לעדכן את האפליקציה הזדונית", אומר לוקאש שטפנקו, חוקר ESET שניתח את אפליקציית Telegram הטרויאנית.

הגרסה הארוזה מחדש של טלגרם משתמשת באותו שם כמו אפליקציית טלגרם הלגיטימית. סט הכלים הקבצים והתוכנות אמורים להיות מזהים ייחודיים עבור כל אפליקציית Android וחייבים להיות ייחודיים בכל מכשיר נתון. המשמעות היא שאם אפליקציית הטלגרם הרשמית כבר מותקנת במכשיר של קורבן פוטנציאלי, לא ניתן להתקין את הגרסה הזו בדלת האחורית. "זה יכול להיות אחד משני דברים - או ששחקן האיום מתקשר תחילה עם קורבנות פוטנציאליים ודוחף אותם להסיר את Telegram מהמכשירים שלהם אם הוא מותקן, או שהקמפיין מתמקד במדינות שבהן השימוש בטלגרם לא נפוץ", מוסיף שטפנקו.

טלגרם חברת ESET ריגול פרצת אבטחה Telegram

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}