Шпионские версии мессенджеров в Google Play

Для популярных мессенджеров, таких как Telegram, Signal, WhatsApp, существует немалое количество альтернативных клиентов. Часто такие модифицированные приложения — их еще называют «модами» — предоставляют своим пользователям дополнительные функции и возможности, отсутствующие в официальных клиентах.

И если в WhatsApp неодобрительно относятся к модам, время от времени пытаются запретить их использование и изгоняют из официальных магазинов приложений, то в Telegram, наоборот, не только никогда не воевали с альтернативными клиентами, но даже рады их созданию, так что модов для «телеги» развелось очень много. Но безопасны ли они?

Увы, несколько недавних исследований показывают, что пользоваться модами мессенджеров стоит с большой осторожностью. И, хотя для большинства пользователей приложение, прошедшее проверку и размещенное в Google Play, по умолчанию воспринимается как легальное и безопасное, мы уже не раз писали, что это, увы, не так: вместе с аппом из Google Play можно получить и троян (кстати, его скачали более 100 млн раз!), и бэкдор, и подписчик, и много другой дряни.

Свежая история: зараженный Telegram на китайском в Google Play

Начнем с самой свежей истории. Наши эксперты обнаружили в Google Play несколько зараженных приложений, притворявшихся версиями Telegram на уйгурском, упрощенном китайском и традиционном китайском языках. Описания приложений выполнены на соответствующих языках и дополнены картинками, очень похожими на те, что размещены на странице официального приложения Telegram в Google Play.

А чтобы побудить пользователей скачивать именно эти моды вместо официального приложения, разработчик уверял, что они будут работать быстрее других клиентов за счет распределенной сети центров обработки данных, расположенных по всему миру.

Размещенные в Google Play версии Telegram на упрощенном китайском, традиционном китайском и уйгурском со шпионским ПО внутри

На первый взгляд эти приложения — полноценные клоны Telegram с интерфейсом, переведенным на указанные выше языки. Все выглядит и работает практически так же, как и в «настоящем» мессенджере.

Мы заглянули в их код и выяснили, что эти приложения в основном представляют собой слегка модифицированные версии официального Telegram. Впрочем, есть небольшая разница, которая ускользнула от внимания модераторов Google Play, — в зараженные версии Telegram добавлен дополнительный модуль. Он постоянно следит за тем, что происходит в мессенджере, и пересылает на командный сервер создателей шпиона массу данных: все контакты пользователя, все полученные и отправленные сообщения, включая вложенные файлы, названия чатов и каналов, имя и номер телефона владельца аккаунта, — в общем, всю переписку в целом. И даже если пользователь сменит имя или номер телефона, эта информация тоже отправится к злоумышленникам.

В предыдущих сериях: шпионские версии Telegram и Signal в Google Play

Интересно, что некоторое время назад исследователями ESET была обнаружена еще одна шпионская версия «телеги» под названием FlyGram. Этот шпион, правда, даже не пытался казаться официальной версией. Вместо этого он представлялся альтернативным клиентом Telegram, то есть как раз модом, и размещался не только в Google Play, но и в Samsung Galaxy Store.

Что еще интереснее, его создатели не ограничились имитацией только Telegram. Помимо этого, они также разместили в тех же магазинах зараженную версию Signal — назвав это приложение Signal Plus Messenger. А для солидности и легитимизации фейковых мессенджеров даже создали сайты flygram[.]org и signalplus[.]org.

Для Signal тоже есть «шпионизированный» альтернативный клиент в Google Play — Signal Plus Messenger. (Источник)

Внутри эти приложения представляли собой полноценные мессенджеры Telegram и Signal соответственно, open-source-код которых также был приправлен вредоносными добавками.

Благодаря этому FlyGram научился воровать из смартфона пользователя контакты, историю звонков, список используемых Google-аккаунтов и некоторую другую информацию, а также делать «резервные копии» переписки — разумеется, хранящиеся на сервере злоумышленников. Правда, эту «опцию» пользователь должен был активировать в модифицированном мессенджере самостоятельно.

В случае Signal Plus подход был несколько иной. Вредонос извлекал из смартфона жертвы некоторое количество информации напрямую, а также позволял атакующему незаметно для пользователя подтвердить вход в Signal-аккаунт жертвы с устройств злоумышленников, после чего они получали возможность читать всю переписку практически в режиме реального времени.

FlyGram появился в Google Play в июле 2020 года и продержался там до января 2021 года, Signal Plus был размещен в магазинах приложений в июле 2022 года и удален из Google Play только в мае 2023 года, а в Samsung Galaxy Store, согласно данным BleepingComputer, оба приложения были доступны еще в конце августа 2023 года. И даже если сейчас они полностью удалены из магазинов, сколько ни о чем не подозревающих пользователей продолжает общаться в таких «удобных и быстрых» модах мессенджеров, доверяя чужим глазам всю свою переписку?

Зараженные WhatsApp и Telegram подменяют адреса криптокошельков

А еще несколько месяцев назад те же исследователи обнаружили массу вредоносных версий мессенджеров WhatsApp и Telegram, нацеленных в первую очередь на кражу криптовалюты. Они подменяют адреса криптокошельков в сообщениях пользователей зараженной версии мессенджера, чтобы перехватывать переводы, поступающие на кошелек жертвы.

Зараженная версия WhatsApp (слева) подменяет адрес кошелька в отправленном сообщении — у получателя (справа) официальная, не зараженная версия WhatsApp. (Источник)

Также некоторые из обнаруженных версий используют распознавание изображений, чтобы искать на сохраненных в памяти смартфона скриншотах так называемые сид-фразы — последовательность кодовых слов, с помощью которой можно получить полный контроль над криптокошельком и, соответственно, полностью его обчистить.

Кроме того, некоторые из известных поддельных приложений Telegram воровали информацию, хранящуюся в пользовательском профиле в облаке Telegram, — конфигурационные файлы, номера телефонов, контакты, сообщения, отправленные и полученные файлы и так далее. По сути, они воровали все пользовательские данные, кроме секретных чатов, созданных на других устройствах. Все эти приложения распространялись не через Google Play, а через разнообразные поддельные сайты и YouTube-каналы.

Как защититься

Напоследок — несколько советов, как защититься от зараженных версий популярных мессенджеров, а также других угроз, нацеленных на пользователей Android:

• Как видите, зловреды могут попадать в том числе и в Google Play. Тем не менее официальные магазины остаются все же более безопасными площадками, чем любые другие источники. Поэтому старайтесь устанавливать приложения только из них.
• Как вы уже могли понять из этого поста, стоит с осторожностью относиться к альтернативным клиентам популярных мессенджеров. Благодаря открытым исходникам создавать их может кто угодно, так что внутри вас могут ждать разнообразные неприятные сюрпризы.
• Перед установкой даже самого официального приложения из самого официального магазина обязательно внимательно проверьте страницу приложения и постарайтесь убедиться в том, что оно настоящее, — обращайте внимание не только на название, но и на разработчика. Часто злоумышленники делают клоны приложений с похожим описанием, чтобы обмануть пользователей.
• Бывает полезно почитать отзывы пользователей с плохими оценками — если с приложением что-то не так, скорее всего, кто-нибудь уже успел это заметить и написать о проблеме.
• И конечно же, обязательно установите надежную защиту на все свои Android-устройства, которая предупредит, если к вам попытается пролезть зловред.
• Если вы пользуетесь бесплатной версией нашего приложения "Kaspersky: антивирус и защита", то не забывайте вручную запускать проверку устройства после установки, но до первого запуска каждого нового приложения.
• В полной версии нашего защитного решения для Android поиск угроз происходит автоматически — кстати, она входит в подписки Kaspersky Standard, Kaspersky Plus и Kaspersky Premium.