Aplicativos espiões Telegram e Signal detectados no Google Play

Para mensageiros instantâneos populares como Telegram ou Signal, existem muitos clientes alternativos chamados “mods” que fornecem aos usuários funções adicionais não encontradas no software oficial. No entanto, usar clientes de mensagens instantâneas de terceiros nem sempre é seguro. Especialistas da Kaspersky Lab falaram sobre casos em que aplicativos de mensagens não oficiais baixados da Play Store foram trazidos por Trojans, backdoors, etc.

Fonte da imagem: kaspersky.ru

Por exemplo, não muito tempo atrás, vários aplicativos infectados foram descobertos na Play Store, disfarçados de clientes do Telegram em uigur, chinês simplificado e chinês tradicional. Os aplicativos vinham acompanhados de descrições detalhadas e imagens da interface, lembrando bastante o Telegram oficial. Além disso, os autores das aplicações prometeram que os seus produtos funcionariam mais rapidamente do que outros clientes, graças a uma rede de centros de dados localizados em todo o mundo.

À primeira vista, os aplicativos são clones completos do Telegram em um dos idiomas mencionados anteriormente. O estudo do código desses produtos mostrou que são versões ligeiramente modificadas do cliente oficial do Telegram. Em particular, os aplicativos receberam um módulo adicional que monitora constantemente o que está acontecendo no aplicativo e envia dados para o servidor de comandos dos desenvolvedores, incluindo contatos do usuário, mensagens enviadas e recebidas, arquivos anexados, etc.

Anteriormente, pesquisadores da ESET descobriram uma versão espiã do Telegram chamada FlyGram. Ele foi posicionado como um cliente mensageiro alternativo e estava disponível para download na Play Store e na Samsung Galaxy Store. Os mesmos desenvolvedores publicaram uma versão espiã do Signal messenger chamada Signal Plus Messenger. O código do aplicativo foi modificado para que pudessem roubar diversas informações dos dispositivos dos usuários, incluindo contatos, histórico de chamadas, lista de contas do Google usadas, etc. O FlyGram apareceu na Play Store em julho de 2020 e permaneceu no site até janeiro de 2021. O Signal Plus apareceu nas lojas de aplicativos em julho de 2022 e foi removido apenas em maio de 2023. Ambos os produtos foram disponibilizados na Samsung App Store em agosto deste ano.

Há alguns meses, pesquisadores descobriram vários clientes maliciosos do WhatsApp e do Telegram que tinham como objetivo roubar criptomoedas. Eles substituíram os endereços das carteiras de criptomoedas nas mensagens dos usuários para interceptar as transferências que chegavam à carteira da vítima. Alguns dos aplicativos maliciosos são capazes de reconhecer imagens para pesquisar na memória do dispositivo uma sequência de códigos que lhes permita obter controle total da carteira de criptomoedas da vítima. Além disso, alguns clientes maliciosos do Telegram podem roubar dados do usuário.