今天小編分享的互聯網經驗:Telegram針對中國用戶發起攻擊,歡迎閱讀。
Telegram(非正式簡稱 TG 或電報)是跨平台的即時通訊軟體,其客戶端是自由及開放源代碼軟體,但伺服器端是專有軟體。用戶可以相互交換加密與自毀消息(類似于 " 閱後即焚 "),發送照片、影片等所有類型檔案。官方提供手機版(Android、iOS、Windows Phone)、桌面版(Microsoft Windows、macOS、Linux)和網頁版等多種平台客戶端;同時官方開放應用程式接口(API),因此擁有許多第三方的客戶端可供選擇,其中多款内置中文。雖然說沒有 whatsapp 的使用範圍廣,但是它的月活躍也高達 6 億,用戶的使用數量也是非常客觀的,且它的檔案傳輸速度是非常快的,聊天記錄的加密性也比較強,很多做外貿的人員都喜歡使用 telegram。telegram 如果你在國内搜索的話,可能搜索到的内容非常少,因為我們國内是禁止訪問國外的網絡的,雖然你可以下載這款軟體,但是你在國内如果說不開 VPN 的話是無法使用到國外的軟體的。
最近,研究人員在 Google Play 上發現了一堆用繁體中文、簡體中文和維吾爾語描述的 Telegram 模塊。
用戶普遍認為,由 Google Play 正式測試并通過官方商店提供的 Telegram 程式是非常安全的,事實上,攻擊者不僅找到了滲透 Google Play 的方法,而且還能誘騙用戶下載,比如,今年 4 月份,就有一種針對韓國的 Android 惡意程式 Goldoson,它就是滲透到 Google Play,欺騙用戶下載,然後竊取用戶的設備信息,進而實施詐騙。還有就是 2022 年底,有一些安卓惡意軟體、釣魚軟體和廣告軟體的應用程式通過滲透到 Google Play,致使 200 多萬人安裝使用這些惡意軟體。在本文的示例中,Telegram 是由卡巴斯基殺毒軟體發現的,它們會偽裝成 Telegram。
啟動時,該應用程式與真實的 Telegram 沒有什麼不同。
但為了安全起見,讓我們來看看它的代碼。
乍一看,它給人的印象是一個非常正常的 Telegram,大多數包看起來和标準包一樣。但是,仔細檢查,你可以看到名為 com.wsys 的軟體包,這在 Telegram 上并不常見。讓我們看看是什麼函數調用了這個包方法。
調用可疑 com.wsys 庫的函數
調用 com.wsys 的函數列表表明,這段代碼意味着可以訪問用戶的聯系人。考慮到該軟體包不是 Telegram 的标準功能集的一部分,至少看起來有點可疑。
connectSocket ( )
com.wsys 庫在 connectSocket ( ) 方法中運行,該方法添加到負責應用程式啟動螢幕的主活動類中。當啟動應用程式或切換到另一個帳戶時,會調用該方法。它收集與用戶相關的信息,如姓名、用戶 ID 和電話号碼,然後應用程式連接到命令伺服器。
連接到命令伺服器
當收到消息時,攻擊者會在傳入的消息處理代碼中,添加對 uploadTextMessageToService 方法的調用。
惡意軟體處理傳入消息
如下所示,幹淨的 Telegram 版本不包含相同代碼區網域中的方法。
通過 Telegram 處理傳入消息
當收到消息時,uploadTextMessageToService 會收集其内容、聊天 / 頻道标題和 ID,以及發件人的姓名和 ID。然後,收集的信息會被加密并緩存到一個名為 tgsync.s3 的臨時檔案中。應用程式每隔一定時間将此臨時檔案發送到命令伺服器。
對洩露數據進行加密
這款應用的惡意功能并不僅限于竊取信息。對 uploadFriendData 方法的調用已添加到聯系人處理代碼中。
uploadFriendData
該方法用于收集有關用戶的 ID、昵稱、姓名和電話号碼等聯系人信息。如果用戶決定更改他們的電話号碼名稱,這些信息也将落入攻擊者手中。
收集更改的用戶數據
當用戶接收或發送檔案時,該應用程式會創建檔案的加密副本,然後将其轉發到攻擊者位于流行雲存儲中的帳戶。
發送的檔案洩露
總結
最近,利用各種非官方 Telegram 模塊的攻擊正在興起。通常,他們會替換用戶消息中的加密錢包地址或進行廣告欺詐。與這些不同,本文中描述的應用程式來自一類成熟的間諜軟體,針對特定地區(中國)的用戶,能夠竊取受害者的全部通信、個人數據和聯系人。然而,為了順利進行 Google Play 安全檢查,他們的代碼與最初的 Telegram 代碼僅略有不同。
如上所述,成為官方程式并不能保證應用的安全性,所以要警惕第三方 Telegram 模塊,即使是那些由 Google Play 發布的。目前,卡巴斯基研究人員已向谷歌報告了這一威脅,但截至發文時,其中一些應用程式仍可下載。
