Aplicaciones falsas de Telegram se propagan a través de 607 dominios en un nuevo ataque de malware para Android

Una nueva campaña de amenazas está engañando a los usuarios de Android para que descarguen aplicaciones falsas de Telegram desde cientos de dominios maliciosos, según una nueva investigación de PreCrime Labs de BforeAI. La operación, activa en las últimas semanas, utiliza sitios web falsos, redirecciones de códigos QR y un APK modificado con permisos peligrosos y funciones de ejecución remota.

El equipo de inteligencia de amenazas identificó 607 dominios vinculados a la campaña. Todos se hacen pasar por páginas oficiales de descarga de Telegram, la mayoría registradas a través del registrador Gname y alojadas en China. Algunos sitios usan nombres de dominio como teleqram, telegramapp, y telegramdl para imitar la marca, dirigiéndose a usuarios que podrían no notar pequeños cambios ortográficos.

Según la publicación del blog de BforeAI compartida con Hackread.com antes de su publicación el martes, se solicita a las víctimas que descarguen lo que parece ser la aplicación Telegram Messenger a través de enlaces o códigos QR.

Los investigadores también observaron dos versiones del APK, con un tamaño de 60 MB y 70 MB. Una vez instalada, la aplicación se comporta como la versión original, pero otorga permisos amplios y permite la ejecución remota de comandos.

Lo que llama la atención es que los sitios de phishing utilizados en esta campaña parecen blogs personales o páginas de fans no oficiales. Un ejemplo típico redirige a los usuarios a zifeiji(.)asia , un sitio diseñado con el favicon, los botones de descarga y los colores de Telegram. Los títulos de las páginas están repletos de frases SEO en chino como "Descarga del sitio web oficial de Paper Plane", en lo que parece ser un intento de mejorar la visibilidad en los resultados de búsqueda y distraer a los usuarios del verdadero propósito de la aplicación.

El APK malicioso está firmado con un esquema de firma v1 antiguo, lo que lo hace vulnerable a la vulnerabilidad Janus , que afecta a las versiones de Android 5.0 a 8.0. Janus permite a los atacantes insertar código dañino en un APK legítimo sin modificar su firma. En este caso, el malware conserva una firma válida, lo que le ayuda a eludir los métodos de detección estándar.

Una vez en el dispositivo, la aplicación utiliza protocolos de texto plano (HTTP, FTP) y accede ampliamente al almacenamiento externo. También incluye código que interactúa con MediaPlayer y utiliza sockets para recibir y ejecutar comandos remotos. Este nivel de control podría utilizarse para monitorear la actividad, robar archivos o lanzar nuevos ataques.

Para su información, la vulnerabilidad Janus ( CVE-2017-13156 ) es una falla de seguridad grave en los dispositivos Android que permitía a los atacantes modificar archivos APK o DEX legítimos sin cambiar su firma criptográfica, haciendo que las aplicaciones maliciosas parecieran confiables e inalteradas.

Un hallazgo clave se relaciona con una base de datos de Firebase ahora desactivada en tmessages2(.)firebaseio(.)com , utilizada anteriormente por los atacantes. Si bien la base de datos original se ha desconectado, los investigadores advierten que cualquier atacante que registre un nuevo proyecto de Firebase con el mismo nombre podría reactivarla fácilmente.

Las versiones anteriores del malware, codificadas en ese endpoint, se conectarían automáticamente a la nueva base de datos controlada por el atacante. Esta táctica prolonga la viabilidad de la campaña, incluso si los operadores originales abandonan el sistema.

La infraestructura maliciosa también utiliza JavaScript de seguimiento, como ajs.js alojado en telegramt(.)net . El script recopila información del dispositivo y del navegador, envía los datos a un servidor remoto y contiene código comentado para mostrar un banner de descarga flotante dirigido a los usuarios de Android. Esta configuración está diseñada para aumentar las tasas de instalación mediante la detección automática de dispositivos y la personalización de la experiencia del usuario.

Desglose del dominio

De los 607 dominios, el uso del dominio de nivel superior fue el siguiente:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

El elevado número de registros .com sugiere un esfuerzo deliberado por añadir credibilidad, mientras que el uso de dominios de bajo coste favorece una amplia distribución.

Para reducir el riesgo de exposición, BforeAI recomienda a las organizaciones que tomen algunas precauciones clave. Primero, configuren un sistema de monitoreo automatizado de dominios para detectar registros de sitios sospechosos o similares antes de que se activen. También es importante analizar archivos APK, URL y valores hash relacionados utilizando múltiples fuentes de inteligencia de amenazas para confirmar su seguridad.

Siempre que sea posible, bloquee el envío de archivos APK o SVG adjuntos , especialmente si estos tipos de archivos no son necesarios para uso comercial. Por último, asegúrese de que los usuarios estén capacitados para evitar descargar aplicaciones de sitios no oficiales, incluso si la página parece legítima o imita a una marca conocida.

Las técnicas de phishing se han vuelto sofisticadas, y esta campaña demuestra cómo exploits antiguos como Janus aún pueden utilizarse contra usuarios desprevenidos. El uso de códigos QR, el typosquatting y la reutilización de servicios en la nube añade un nivel de sofisticación que hace que el filtrado simple ya no sea suficiente.