in

Si vous utilisez Telegram, soyez prudent avec ce cheval de Troie : il prétend être l’application pour voler vos données

Un groupe de cyberespionnage a créé une version corrompue de Telegram qui, une fois installée, permettait de contrôler de nombreuses opérations effectuées sur le terminal infecté.

Si vous utilisez Telegram, soyez prudent avec ce cheval de Troie : il prétend être l'application pour voler vos données
Une version corrompue de Telegram installe un cheval de Troie sur les téléphones Android.

rejoindre la conversation

Logiciels malveillants sur Android n’a jamais cessé d’être une menace. Chez Andro4all, nous avons déjà parlé des plus dangereux aujourd’hui, tandis que d’autres comme BRATA apparaissent et disparaissent de temps en temps. Dans ce cas, nous allons traiter un malware créé par un groupe considéré par les experts comme une menace persistante.

Le groupe lui-même s’appelle StrongPity et, selon The Hacker News, ils ont créé un version de Telegram pour Android contenant un cheval de Troie. Apparemment, cette version corrompue est distribuée via une version clonée du service d’appel vidéo Web Shagle.

Voici ce que fait ce « faux télégramme » sur notre téléphone

Si nous installons la version corrompue de l’application sur notre téléphone, nous offrirons aux attaquants accès complet à notre terminal. Le cheval de Troie exploite une porte dérobée pour, grâce à son cryptage, enregistrer les appels téléphoniques, suivre l’emplacement et récolter les SMS, les journaux d’appels, les listes de contacts et les fichiers.

De plus, si le logiciel malveillant est autorisé à accéder aux options d’accessibilité, il pourra lire les notifications et les messages de différentes applications. Parmi eux figurent Kik, LINE, Facebook Messenger, Skype, Snapchat, Tinder, Twitter, Viber, WeChat et, évidemment, Telegram.

Si vous utilisez Telegram, soyez prudent avec ce cheval de Troie : il prétend être l'application pour voler vos données

Message d’installation de la version corrompue de Telegram

Un autre aspect notable de cette attaque est que la version corrompue de l’APK Telegram partage le nom du package avec la version légitime. Cela présente un avantage pour les appareils sur lesquels l’application a déjà été installée, car le programme d’installation contaminé ne serait pas autorisé à s’exécuter.

Selon les chercheurs d’ESET, qui ont suivi la question de près, cela pourrait signifie deux choses: Soit StrongPity contacte des victimes potentielles et leur fait désinstaller Telegram légitime, soit leur campagne cible des pays où l’utilisation de Telegram pour la communication est rare.

Il est difficile de connaître l’ampleur de l’attaque

Au moment d’écrire ces lignes, le faux site Web Shagle à partir duquel la distribution a été effectuée n’est plus actif. Les chercheurs d’ESET disent que les cibles devaient être très spécifiques, car aucune donnée de télémétrie n’existe pour fournir des informations supplémentaires.

En outre, il n’y a aucune preuve que l’APK corrompu est arrivé sur Google Play. On ne sait pas comment les victimes ont été amenées à rejoindre la plateforme de distribution. On suppose qu’un certain type d’ingénierie sociale, de publicités frauduleuses et même de contamination d’un moteur de recherche a été effectué.

rejoindre la conversation

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. ?