Telegram(非正式簡稱 TG 或電報)是跨平台的即時通訊軟件,其客戶端是自由及開放源代碼軟件,但服務器端是專有軟件。用戶可以相互交換加密與自毀消息(類似于 " 閱後即焚 "),發送照片、影片等所有類型文件。官方提供手機版(Android、iOS、Windows Phone)、桌面版(Microsoft Windows、macOS、Linux)和網頁版等多種平台客戶端;同時官方開放應用程序接口(API),因此擁有許多第三方的客戶端可供選擇,其中多款内置中文。雖然說沒有 whatsapp 的使用範圍廣,但是它的月活躍也高達 6 億,用戶的使用數量也是非常客觀的,且它的文件傳輸速度是非常快的,聊天記錄的加密性也比較強,很多做外貿的人員都喜歡使用 telegram。telegram 如果你在國内搜索的話,可能搜索到的内容非常少,因爲我們國内是禁止訪問國外的網絡的,雖然你可以下載這款軟件,但是你在國内如果說不開 VPN 的話是無法使用到國外的軟件的。
最近,研究人員在 Google Play 上發現了一堆用繁體中文、簡體中文和維吾爾語描述的 Telegram 模塊。
用戶普遍認爲,由 Google Play 正式測試并通過官方商店提供的 Telegram 程序是非常安全的,事實上,攻擊者不僅找到了滲透 Google Play 的方法,而且還能誘騙用戶下載,比如,今年 4 月份,就有一種針對韓國的 Android 惡意程序 Goldoson,它就是滲透到 Google Play,欺騙用戶下載,然後竊取用戶的設備信息,進而實施詐騙。還有就是 2022 年底,有一些安卓惡意軟件、釣魚軟件和廣告軟件的應用程序通過滲透到 Google Play,緻使 200 多萬人安裝使用這些惡意軟件。在本文的示例中,Telegram 是由卡巴斯基殺毒軟件發現的,它們會僞裝成 Telegram。
啓動時,該應用程序與真實的 Telegram 沒有什麽不同。
但爲了安全起見,讓我們來看看它的代碼。
乍一看,它給人的印象是一個非常正常的 Telegram,大多數包看起來和标準包一樣。但是,仔細檢查,你可以看到名爲 com.wsys 的軟件包,這在 Telegram 上并不常見。讓我們看看是什麽函數調用了這個包方法。
調用可疑 com.wsys 庫的函數
調用 com.wsys 的函數列表表明,這段代碼意味着可以訪問用戶的聯系人。考慮到該軟件包不是 Telegram 的标準功能集的一部分,至少看起來有點可疑。
connectSocket ( )
com.wsys 庫在 connectSocket ( ) 方法中運行,該方法添加到負責應用程序啓動屏幕的主活動類中。當啓動應用程序或切換到另一個帳戶時,會調用該方法。它收集與用戶相關的信息,如姓名、用戶 ID 和電話号碼,然後應用程序連接到命令服務器。
連接到命令服務器
當收到消息時,攻擊者會在傳入的消息處理代碼中,添加對 uploadTextMessageToService 方法的調用。
惡意軟件處理傳入消息
如下所示,幹淨的 Telegram 版本不包含相同代碼區域中的方法。
通過 Telegram 處理傳入消息
當收到消息時,uploadTextMessageToService 會收集其内容、聊天 / 頻道标題和 ID,以及發件人的姓名和 ID。然後,收集的信息會被加密并緩存到一個名爲 tgsync.s3 的臨時文件中。應用程序每隔一定時間将此臨時文件發送到命令服務器。
對洩露數據進行加密
這款應用的惡意功能并不僅限于竊取信息。對 uploadFriendData 方法的調用已添加到聯系人處理代碼中。
uploadFriendData
該方法用于收集有關用戶的 ID、昵稱、姓名和電話号碼等聯系人信息。如果用戶決定更改他們的電話号碼名稱,這些信息也将落入攻擊者手中。
收集更改的用戶數據
當用戶接收或發送文件時,該應用程序會創建文件的加密副本,然後将其轉發到攻擊者位于流行雲存儲中的帳戶。
發送的文件洩露
總結
最近,利用各種非官方 Telegram 模塊的攻擊正在興起。通常,他們會替換用戶消息中的加密錢包地址或進行廣告欺詐。與這些不同,本文中描述的應用程序來自一類成熟的間諜軟件,針對特定地區(中國)的用戶,能夠竊取受害者的全部通信、個人數據和聯系人。然而,爲了順利進行 Google Play 安全檢查,他們的代碼與最初的 Telegram 代碼僅略有不同。
如上所述,成爲官方程序并不能保證應用的安全性,所以要警惕第三方 Telegram 模塊,即使是那些由 Google Play 發布的。目前,卡巴斯基研究人員已向谷歌報告了這一威脅,但截至發文時,其中一些應用程序仍可下載。