Logotyp serwisu CyberDefence24
Reklama

Chińskie domeny szerzyły fałszywy Telegram

Autor. Ivan Radic/flickr.com/CC BY 2.0

BforeAI zidentyfikowało kampanię 607 domen, które rozpowszechniały aplikację mającą podszywać się pod Telegram. Strony są hostowane głównie w języku chińskim.

Na fałszywych domenach, zidentyfikowanych przez BforeAI, pojawiał się kod QR, który przekierowuje na stronę zawierającą elementy przypominające Telegram – logo aplikacji i motywy graficzne. Na stronie można pobrać plik APK (instalator aplikacji na Androida, a użytkownik jest przekonany, że pobiera oficjalną aplikację.

Kampania związana z fałszywą aplikacją Telegrama jest zagrożeniem dla użytkowników Androida.

Strona podszywająca się pod oficjalną domenę Telegrama w języku chińskim
Strona podszywająca się pod oficjalną domenę Telegrama w języku chińskim.
Autor. BforeAI

Czytaj też

Reklama

Wykorzystano podatność Androida

Plik APK został podpisany za pomocą schematu v1, który jest silnie podatny na atak Janus występujący na urządzeniach z Androidem w wersjach od 5.0 do 8.0.Umożliwia to instalację fałszywej aplikacji z ominięciem standardowych mechanizmów zabezpieczających.

W aplikacji znaleziono ciągi znaków wskazujące na korzystanie z niezabezpieczonych połączeń internetowych, m.in. http, FTP lub DownloadManager. Aplikacja miała też szeroki dostęp do pamięci telefonu, co pozwalało jej czytać lub zapisywać prywatne pliki użytkownika.

Plik APK korzysta także z komponentu MediaPlayer i wykonuje zdalne komendy przez tzw. połączenia zwrotne (callbacki) oparte na socketach. Dzięki temu fałszywa aplikacja Telegram może odbierać i realizować polecenia w czasie rzeczywistym, co może być wykorzystywane przez atakujących do kradzieży danych, podsłuchu, śledzenia oraz przejmowania kontroli nad urządzeniem” - czytamy w raporcie BforeAI.

Czytaj też

Reklama

Każdy może reaktywować bazę Firebase

Baza danych Firebase była wykorzystywana w tej kampanii. Pobrane przez użytkowników aplikacje miały wbudowany kod do tej bazy i łączyły się z nią automatycznie, by pobierać polecenia od atakującego czy wysyłać skradzione informacje.

Jak informuje BforeAI, baza została zdezaktywowana, czyli mogła być usunięta, wyłączona lub porzucona, jednak podkreśla, że cyberprzestępcy mogą ją ponownie aktywować.

„Wszystkie starsze aplikacje zakodowane do łączenia się z „tmessages2[.]firebaseio[.]com” będą następnie łączyć się z nową bazą danych przeciwnika. Oznacza to, że kampania pozostanie opłacalna, nawet jeśli poprzedni przeciwnicy nie będą już na niej działać.” – zauważa BforeAI.

Ta kampania podkreśla, jak ważne jest weryfikowanie źródeł pobierania aplikacji oraz zachowanie ostrożności przy instalowaniu oprogramowania spoza oficjalnych sklepów. Zainstalowanie złośliwego oprogramowania może prowadzić do poważnych konsekwencji w postaci kradzieży danych czy przejęcia kontroli nad urządzeniem.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?

Materiał sponsorowany

Komentarze

    Reklama

    Czytaj także

    CBZC i Europol rozbijają prorosyjską grupę APT NoName057(16)
    440 mln zł na cyfryzację - nowe oblicze polskiej kultury
    Podatności i socjotechnika: Główne źródła zagrożeń 2024.
    McDonalds naraził dane 64 mln użytkowników
    MSWiA chce wyłączenia policji spod ustawy o AI
    ukraina wojsko wojna dron
    AI dla ukraińskiego wojska. Ministerstwo wesprze startupy
    Powstaje polski model AI do walki ze szkodliwymi treściami
    Wynoszenie danych z organizacji. Czy można tego uniknąć?