App Telegram false si diffondono tramite 607 domini in un nuovo attacco malware per Android

Una nuova campagna di minacce informatiche sta inducendo gli utenti Android a scaricare false app Telegram da centinaia di domini dannosi, secondo una nuova ricerca dei PreCrime Labs di BforeAI. L'operazione, attiva nelle ultime settimane, utilizza siti web sosia, reindirizzamenti tramite codice QR e un APK modificato con autorizzazioni pericolose e funzionalità di esecuzione remota.

Il team di threat intelligence ha identificato 607 domini collegati alla campagna. Tutti si spacciano per pagine ufficiali di download di Telegram, la maggior parte delle quali registrate tramite il registrar Gname e ospitate in Cina. Alcuni siti utilizzano nomi di dominio come teleqram, telegramapp, e telegramdl per imitare il brand, prendendo di mira utenti che potrebbero non notare lievi modifiche ortografiche.

Secondo il post sul blog di BforeAI condiviso con Hackread.com prima della pubblicazione di martedì, alle vittime viene chiesto di scaricare quella che sembra essere l'app Telegram Messenger tramite link o codici QR.

I ricercatori hanno anche osservato due versioni dell'APK, da 60 MB e 70 MB. Una volta installata, l'app si comporta come la versione originale in superficie, ma concede silenziosamente permessi estesi e consente l'esecuzione di comandi da remoto.

Ciò che salta all'occhio è che i siti di phishing utilizzati in questa campagna sembrano blog personali o fan page non ufficiali. Un esempio tipico reindirizza gli utenti a zifeiji(.)asia , un sito con l'icona preferita, i pulsanti di download e i colori di Telegram. I titoli delle pagine sono pieni di frasi SEO in cinese come "Download del sito web ufficiale di Paper Plane", in quello che sembra un tentativo di migliorare la visibilità nei risultati di ricerca, distraendo al contempo gli utenti dal vero scopo dell'app.

L'APK dannoso è firmato con un vecchio schema di firma v1, il che lo rende vulnerabile alla vulnerabilità Janus , che colpisce le versioni di Android dalla 5.0 alla 8.0. Janus consente agli autori della minaccia di inserire codice dannoso in un APK legittimo senza modificarne la firma. In questo caso, il malware mantiene una firma valida, il che gli consente di eludere i metodi di rilevamento standard.

Una volta installata sul dispositivo, l'app sfrutta protocolli in chiaro (HTTP, FTP) e accede ampiamente agli archivi esterni. Include anche codice che interagisce con MediaPlayer e utilizza socket per ricevere e gestire comandi remoti. Questo livello di controllo potrebbe essere utilizzato per monitorare le attività, rubare file o lanciare ulteriori attacchi.

Per vostra informazione, la vulnerabilità Janus ( CVE-2017-13156 ) è una grave falla di sicurezza nei dispositivi Android che ha consentito agli aggressori di modificare file APK o DEX legittimi senza modificarne la firma crittografica, facendo apparire le app dannose come affidabili e inalterate.

Una scoperta chiave riguarda un database Firebase ora disattivato, all'indirizzo tmessages2(.)firebaseio(.)com , precedentemente utilizzato dagli aggressori. Sebbene il database originale sia offline, i ricercatori avvertono che potrebbe essere facilmente riattivato da qualsiasi aggressore che registri un nuovo progetto Firebase con lo stesso nome.

Le versioni precedenti del malware, codificate in quell'endpoint, si connetterebbero automaticamente al nuovo database controllato dall'aggressore. Questa tattica estende la fattibilità della campagna, anche se gli operatori originali dovessero cambiare idea.

L'infrastruttura dannosa utilizza anche codice JavaScript di tracciamento, come ajs.js ospitato su telegramt(.)net . Lo script raccoglie i dettagli del dispositivo e del browser, invia i dati a un server remoto e contiene codice commentato per visualizzare un banner di download mobile rivolto agli utenti Android. Questa configurazione è progettata per aumentare i tassi di installazione rilevando automaticamente i dispositivi e personalizzando l'esperienza utente.

Analisi del dominio

Dei 607 domini, l'utilizzo del dominio di primo livello è stato il seguente:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

L'elevato numero di registrazioni .com suggerisce uno sforzo deliberato per aumentare la credibilità, mentre l'uso di domini a basso costo favorisce un'ampia distribuzione.

Per ridurre il rischio di esposizione, BforeAI suggerisce alle organizzazioni di adottare alcune precauzioni chiave. Innanzitutto, impostare un monitoraggio automatico del dominio per individuare registrazioni di siti sospetti o simili prima che diventino attivi. È inoltre importante analizzare file APK, URL e relativi valori hash utilizzando più fonti di threat intelligence per confermare la loro sicurezza.

Ove possibile, bloccate la distribuzione di allegati APK o SVG , soprattutto se questi tipi di file non sono necessari per uso aziendale. Infine, assicuratevi che gli utenti siano istruiti a evitare di scaricare app da siti non ufficiali, anche se la pagina sembra legittima o imita un marchio noto.

Le tecniche di phishing sono diventate sofisticate e questa campagna dimostra come exploit vecchi come Janus possano ancora essere utilizzati contro utenti ignari. L'uso di codici QR, typosquatting e servizi cloud riadattati aggiunge un livello di sofisticazione che rende il semplice filtraggio non più sufficiente.