يستخدم المتسللون برنامج تيليجرام كسلاح من خلال برامج خبيثة للسيطرة على النظام

تشير التقارير إلى أن البرمجيات الخبيثة تُرسل إلى الأجهزة عبر إعلانات خادعة داخل التطبيقات ومتاجر تطبيقات خارجية تتظاهر بأنها منصات مواعدة وتواصل شرعية. ويمثل هذا التهديد تصعيدًا خطيرًا في انتشار البرمجيات الخبيثة على الأجهزة المحمولة، حيث وصل إلى 58 ألف جهاز مصاب.

بالإضافة إلى ذلك، فقد انتشر أيضًا عبر أكثر من 3000 هاتف ذكي، وأجهزة لوحية، وأجهزة استقبال تلفزيونية، وبعض أنظمة المركبات التي تعمل بنظام أندرويد.

يستخدم المتسللون برنامج تيليجرام كسلاح لاختراق الأنظمة

التقرير يزعم أن عملية توزيع البرامج الخبيثة بدأت عام ٢٠٢٤، حيث استهدف المخترق بشكل أساسي المستخدمين البرازيليين والإندونيسيين عبر قوالب باللغتين البرتغالية والإندونيسية. يواجه الضحايا إعلانات داخل التطبيق، تُعيد توجيههم إلى مواقع تطبيقات وهمية تعرض تقييمات مزيفة وإعلانات ترويجية لخدمات دردشة فيديو مجانية وفرص للتعارف. تُقدّم هذه المواقع المزيفة تطبيقات مُحمّلة ببرامج خبيثة تبدو مطابقة تمامًا للتطبيقات الأصلية.

إلى جانب المواقع الإلكترونية الخبيثة، تسلل الباب الخلفي أيضًا إلى مستودعات الطرف الثالث الراسخة، بما في ذلك APKPure وApkSum وAndroidP، حيث يتم نشره بشكل خادع تحت اسم مطور المراسلة الرسمي على الرغم من وجود توقيع رقمي مختلف.

dentالمحللون أن البرمجية الخبيثة تتمتع بقدرة استثنائية على سرقة المعلوماتdent، بما في ذلك بيانات تسجيل الدخولdentالمرور وسجلات المحادثات الكاملة. كما يخفي هذا الباب الخلفي مؤشرات اختراق الحسابات عن طريق إخفاء اتصالات الأجهزة الخارجية من قوائم جلسات تيليجرام النشطة.

بالإضافة إلى ذلك، فهو قادر على إزالة ضحاياه أو إضافتهم إلى القنوات والمحادثات دون موافقتهم، وإخفاء هذه الإجراءات تمامًا، وتحويل الحسابات المخترقة إلى أدوات لتضخيم عدد مشتركي قنوات Telegram بشكل مصطنع.

ما يميز هذا البرنامج الخبيث عن التهديدات التقليدية لنظام أندرويد هو استخدامه لقاعدة بيانات Redis في عمليات التحكم والسيطرة. كانت الإصدارات السابقة منه تعتمد على خوادم التحكم والسيطرة التقليدية، لكن المطورين قاموا بدمج أوامر تعتمد على Redis.

تتلاعب البرامج الضارة بالوظائف دون أن يتم اكتشافها

يزعم التقرير أن الثغرة الأمنية تستخدم تقنيات متعددة للتلاعب بوظائف تطبيق المراسلة دون أن يتم اكتشافها. ولإجراء عمليات لا تؤثر على وظائف التطبيق الأساسية، يستخدم المخترقون نسخًا جاهزة من وظائف المراسلة، وهي عبارة عن كتل برمجية منفصلة مسؤولة عن مهام محددة ضمن بنية نظام أندرويد.

تتيح هذه المرآة للتطبيق عرض رسائل التصيد الاحتيالي داخل نوافذ تحاكي Telegram X .

بالنسبة للعمليات الأخرى التي تتطلب تكاملاً أعمق، يستخدم البرنامج الخبيث إطار عمل Xposed لتعديل وظائف التطبيق، مما يتيح له إمكانيات مثل إخفاء محادثات محددة، وإخفاء الأجهزة المصرح لها، واعتراض محتويات الحافظة. يستخدم البرنامج الخبيث قنوات Redis وخوادم التحكم والسيطرة لتلقي أوامر واسعة النطاق، بما في ذلك تحميل الرسائل النصية القصيرة وجهات الاتصال ومحتويات الحافظة عند قيام المستخدم بتصغير نافذة تطبيق المراسلة أو استعادتها.

يستخدم المخترقون خاصية مراقبة الحافظة لسرقة البيانات، مثل كلمات مرور محافظ العملات الرقمية، والعبارات التذكيرية، أو المراسلات التجاريةdentالتي تم كشفها دون علمهم. يقوم هذا الباب الخلفي بجمع معلومات الجهاز، وبيانات التطبيقات المثبتة، وسجلات الرسائل، ورموز المصادقة، ويرسل هذه المعلومات إلى المخترقين كل ثلاث دقائق، مع الحفاظ على مظهر تطبيق تيليجرام كتطبيق عادي.