今天小编分享的互联网经验:Telegram针对中国用户发起攻击,欢迎阅读。
Telegram(非正式简称 TG 或电报)是跨平台的即时通讯軟體,其客户端是自由及开放源代码軟體,但伺服器端是专有軟體。用户可以相互交换加密与自毁消息(类似于 " 阅后即焚 "),发送照片、影片等所有类型檔案。官方提供手机版(Android、iOS、Windows Phone)、桌面版(Microsoft Windows、macOS、Linux)和网页版等多种平台客户端;同时官方开放应用程式接口(API),因此拥有许多第三方的客户端可供选择,其中多款内置中文。虽然说没有 whatsapp 的使用范围广,但是它的月活跃也高达 6 亿,用户的使用数量也是非常客观的,且它的檔案传输速度是非常快的,聊天记录的加密性也比较强,很多做外贸的人员都喜欢使用 telegram。telegram 如果你在国内搜索的话,可能搜索到的内容非常少,因为我们国内是禁止访问国外的网络的,虽然你可以下载这款軟體,但是你在国内如果说不开 VPN 的话是无法使用到国外的軟體的。
最近,研究人员在 Google Play 上发现了一堆用繁体中文、简体中文和维吾尔语描述的 Telegram 模块。
用户普遍认为,由 Google Play 正式测试并通过官方商店提供的 Telegram 程式是非常安全的,事实上,攻击者不仅找到了渗透 Google Play 的方法,而且还能诱骗用户下载,比如,今年 4 月份,就有一种针对韩国的 Android 恶意程式 Goldoson,它就是渗透到 Google Play,欺骗用户下载,然后窃取用户的设备信息,进而实施诈骗。还有就是 2022 年底,有一些安卓恶意軟體、钓鱼軟體和广告軟體的应用程式通过渗透到 Google Play,致使 200 多万人安装使用这些恶意軟體。在本文的示例中,Telegram 是由卡巴斯基杀毒軟體发现的,它们会伪装成 Telegram。
启动时,该应用程式与真实的 Telegram 没有什么不同。
但为了安全起见,让我们来看看它的代码。
乍一看,它给人的印象是一个非常正常的 Telegram,大多数包看起来和标准包一样。但是,仔细检查,你可以看到名为 com.wsys 的軟體包,这在 Telegram 上并不常见。让我们看看是什么函数调用了这个包方法。
调用可疑 com.wsys 库的函数
调用 com.wsys 的函数列表表明,这段代码意味着可以访问用户的联系人。考虑到该軟體包不是 Telegram 的标准功能集的一部分,至少看起来有点可疑。
connectSocket ( )
com.wsys 库在 connectSocket ( ) 方法中运行,该方法添加到负责应用程式启动螢幕的主活动类中。当启动应用程式或切换到另一个帐户时,会调用该方法。它收集与用户相关的信息,如姓名、用户 ID 和电话号码,然后应用程式连接到命令伺服器。
连接到命令伺服器
当收到消息时,攻击者会在传入的消息处理代码中,添加对 uploadTextMessageToService 方法的调用。
恶意軟體处理传入消息
如下所示,干净的 Telegram 版本不包含相同代码区網域中的方法。
通过 Telegram 处理传入消息
当收到消息时,uploadTextMessageToService 会收集其内容、聊天 / 频道标题和 ID,以及发件人的姓名和 ID。然后,收集的信息会被加密并缓存到一个名为 tgsync.s3 的临时檔案中。应用程式每隔一定时间将此临时檔案发送到命令伺服器。
对泄露数据进行加密
这款应用的恶意功能并不仅限于窃取信息。对 uploadFriendData 方法的调用已添加到联系人处理代码中。
uploadFriendData
该方法用于收集有关用户的 ID、昵称、姓名和电话号码等联系人信息。如果用户决定更改他们的电话号码名称,这些信息也将落入攻击者手中。
收集更改的用户数据
当用户接收或发送檔案时,该应用程式会创建檔案的加密副本,然后将其转发到攻击者位于流行云存储中的帐户。
发送的檔案泄露
总结
最近,利用各种非官方 Telegram 模块的攻击正在兴起。通常,他们会替换用户消息中的加密钱包地址或进行广告欺诈。与这些不同,本文中描述的应用程式来自一类成熟的间谍軟體,针对特定地区(中国)的用户,能够窃取受害者的全部通信、个人数据和联系人。然而,为了顺利进行 Google Play 安全检查,他们的代码与最初的 Telegram 代码仅略有不同。
如上所述,成为官方程式并不能保证应用的安全性,所以要警惕第三方 Telegram 模块,即使是那些由 Google Play 发布的。目前,卡巴斯基研究人员已向谷歌报告了这一威胁,但截至发文时,其中一些应用程式仍可下载。
