Los piratas informáticos utilizan el mensajero Telegram como arma con malware para obtener el control del sistema

Según informes, el malware se introduce en los dispositivos a través de anuncios engañosos en aplicaciones y tiendas de aplicaciones de terceros que se hacen pasar por plataformas legítimas de citas y comunicación. Esta amenaza representa un aumento significativo en la distribución de malware móvil, con una cobertura de 58.000 dispositivos infectados.

Además, también se ha extendido a más de 3.000 teléfonos inteligentes, tabletas, TV boxes y algunos sistemas de vehículos basados ​​en Android.

Los hackers utilizan malware para acceder a Telegram

El informe afirma que la distribución de la puerta trasera comenzó en 2024, y que el hacker se dirigía principalmente a usuarios brasileños e indonesios mediante plantillas en portugués e indonesio. Las víctimas se encuentran con anuncios dentro de la aplicación móvil, que las redirigen a catálogos falsos de aplicaciones con reseñas falsas y banners promocionales que anuncian videochats gratuitos y oportunidades de citas. Estos sitios web falsos ofrecen aplicaciones infectadas con malware que se parecen a las legítimas.

Además de los sitios web maliciosos, la puerta trasera también se ha infiltrado en repositorios de terceros establecidos, incluidos APKPure, ApkSum y AndroidP, donde se publica engañosamente bajo el nombre del desarrollador oficial del mensajero a pesar de tener una firma digital diferente.

Los analistasdentque el malware posee una capacidad excepcional para robar informacióndent, comodentde inicio de sesión, contraseñas e historiales de chat completos. La puerta trasera también oculta los indicadores de cuentas comprometidas al ocultar las conexiones de dispositivos de terceros de las listas de sesiones activas de Telegram.

Además, es capaz de eliminar o agregar a sus víctimas a canales y chats sin su aprobación, disfrazando estas acciones por completo y transformando las cuentas comprometidas en herramientas para inflar artificialmente los suscriptores del canal de Telegram.

Lo que lo distingue de las amenazas convencionales para Android es que utiliza la base de datos Redis para operaciones de comando y control. Las versiones anteriores del malware se basaban en servidores C2 tradicionales, pero los desarrolladores han integrado comandos basados ​​en Redis.

El malware manipula funcionalidades sin ser detectado

El informe afirma que la puerta trasera utiliza diversas técnicas para manipular las funcionalidades de Messenger sin ser detectada. Para operaciones que no interfieran con las funciones principales de la aplicación, los hackers utilizan réplicas ya preparadas de los métodos de Messenger, que son bloques de código independientes responsables de tareas específicas dentro de la arquitectura del programa Android.

Este espejo permite que la aplicación muestre mensajes de phishing dentro de ventanas que replican perfectamente las de Telegram X. interfaces

Para otras operaciones que requieren una mayor integración, el malware utiliza el framework Xposed para modificar los métodos de la aplicación, lo que permite funciones como ocultar chats específicos, ocultar dispositivos autorizados e interceptar el contenido del portapapeles. Este malware de puerta trasera utiliza los canales de Redis y los servidores C2 para recibir comandos extensos, como la carga de SMS, contactos y el contenido del portapapeles cuando un usuario minimiza o restaura la ventana de Messenger.

Los hackers utilizan la monitorización del portapapeles para robar datos, como contraseñas de monederos de criptomonedas, frases mnemotécnicas o comunicaciones comercialesdentque fueron expuestas sin saberlo. La puerta trasera recopila información del dispositivo, datos de las aplicaciones instaladas, historial de mensajes y tokens de autenticación, y transmite la información a los hackers cada tres minutos, manteniendo la apariencia de un funcionamiento normal de Telegram.