Aplicativos falsos do Telegram se espalham por 607 domínios em novo ataque de malware para Android

Uma nova campanha de ameaças está enganando usuários do Android, levando-os a baixar aplicativos falsos do Telegram de centenas de domínios maliciosos, de acordo com uma nova pesquisa do PreCrime Labs da BforeAI. A operação, ativa nas últimas semanas, utiliza sites falsos, redirecionamentos de código QR e um APK modificado com permissões perigosas e recursos de execução remota.

A equipe de inteligência de ameaças identificou 607 domínios vinculados à campanha. Todos se passam por páginas oficiais de download do Telegram, a maioria registrada pelo registrador Gname e hospedada na China. Alguns sites usam nomes de domínio como teleqram, telegramapp, e telegramdl para imitar a marca, visando usuários que podem não notar pequenas alterações ortográficas.

De acordo com a postagem do blog do BforeAI compartilhada com o Hackread.com antes da publicação na terça-feira, as vítimas são solicitadas a baixar o que parece ser o aplicativo Telegram Messenger por meio de links ou códigos QR.

Os pesquisadores também observaram duas versões do APK, com 60 MB e 70 MB de tamanho. Uma vez instalado, o aplicativo se comporta como o original, mas concede discretamente permissões amplas e permite a execução remota de comandos.

O que chama a atenção é que os sites de phishing usados nesta campanha parecem blogs pessoais ou páginas de fãs não oficiais. Um exemplo típico redireciona os usuários para zifeiji(.)asia , um site estilizado com o favicon, botões de download e cores do Telegram. Os títulos das páginas estão repletos de frases de SEO em chinês, como "Download do site oficial do avião de papel", no que parece ser uma tentativa de melhorar a visibilidade nos resultados de busca, distraindo os usuários da real intenção do aplicativo.

O APK malicioso é assinado com um esquema de assinatura v1 mais antigo, o que o torna vulnerável à vulnerabilidade Janus , que afeta as versões 5.0 a 8.0 do Android. A Janus permite que invasores insiram código malicioso em um APK legítimo sem alterar sua assinatura. Nesse caso, o malware mantém uma assinatura válida, o que o ajuda a contornar os métodos de detecção padrão.

Uma vez instalado no dispositivo, o aplicativo utiliza protocolos de texto simples (HTTP, FTP) e acessa amplamente o armazenamento externo. Ele também inclui código que interage com o MediaPlayer e usa soquetes para receber e executar comandos remotos. Esse nível de controle pode ser usado para monitorar atividades, roubar arquivos ou lançar novos ataques.

Para sua informação, a vulnerabilidade Janus ( CVE-2017-13156 ) é uma falha de segurança grave em dispositivos Android que permitia que invasores modificassem arquivos APK ou DEX legítimos sem alterar sua assinatura criptográfica, fazendo com que aplicativos maliciosos parecessem confiáveis e inalterados.

Uma descoberta importante diz respeito a um banco de dados Firebase agora desativado em tmessages2(.)firebaseio(.)com , usado anteriormente pelos invasores. Embora o banco de dados original tenha ficado offline, os pesquisadores alertam que ele poderia ser facilmente reativado por qualquer invasor que registrasse um novo projeto Firebase com o mesmo nome.

Versões mais antigas do malware, codificadas para esse endpoint, conectar-se-iam automaticamente ao novo banco de dados controlado pelo invasor. Essa tática prolonga a viabilidade da campanha, mesmo que os operadores originais abandonem o sistema.

A infraestrutura maliciosa também utiliza JavaScript de rastreamento, como ajs.js hospedado no telegramt(.)net . O script coleta detalhes do dispositivo e do navegador, envia os dados para um servidor remoto e contém código comentado para exibir um banner flutuante de download direcionado a usuários do Android. Essa configuração foi projetada para aumentar as taxas de instalação, detectando dispositivos automaticamente e personalizando a experiência do usuário.

Divisão de domínio

Dos 607 domínios, o uso do domínio de nível superior foi o seguinte:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

O alto número de registros .com sugere um esforço deliberado para adicionar credibilidade, enquanto o uso de domínios de baixo custo dá suporte à ampla distribuição.

Para reduzir o risco de exposição, a BforeAI sugere que as organizações tomem algumas precauções importantes. Primeiro, configure o monitoramento automatizado de domínio para detectar registros de sites suspeitos ou similares antes que se tornem ativos. Também é importante verificar arquivos APK, URLs e valores de hash relacionados usando diversas fontes de inteligência de ameaças para confirmar se são seguros.

Sempre que possível, bloqueie o envio de anexos APK ou SVG , especialmente se esses tipos de arquivo não forem necessários para uso comercial. Por fim, certifique-se de que os usuários sejam treinados para evitar baixar aplicativos de sites não oficiais, mesmo que a página pareça legítima ou imite uma marca conhecida.

As técnicas de phishing se tornaram sofisticadas, e esta campanha mostra como exploits antigos, como o Janus, ainda podem ser usados contra usuários desavisados. O uso de códigos QR, typosquatting e serviços de nuvem reaproveitados adicionam um nível de sofisticação que torna a filtragem simples insuficiente.