Gli hacker trasformano Telegram in un'arma con malware per ottenere il controllo del sistema

Secondo quanto riportato, il malware viene inviato ai dispositivi tramite pubblicità ingannevoli in-app e app store di terze parti che si spacciano per piattaforme di incontri e comunicazione legittime. Questa minaccia rappresenta un'escalation significativa nella distribuzione di malware per dispositivi mobili, con una diffusione su 58.000 dispositivi infetti.

Inoltre, si è diffuso anche su più di 3.000 smartphone, tablet, TV box e alcuni sistemi di veicoli basati su Android.

Gli hacker trasformano Telegram in un'arma con malware per ottenere l'accesso

Il rapporto afferma che la distribuzione della backdoor è iniziata nel 2024, con l'hacker che ha preso di mira principalmente utenti brasiliani e indonesiani attraverso template in portoghese e indonesiano. Le vittime si imbattono in pubblicità all'interno dell'applicazione mobile, che le reindirizzano a falsi cataloghi di app con recensioni false e banner promozionali che pubblicizzano video chat gratuite e opportunità di incontri. Questi siti web falsi distribuiscono app infette di malware che sembrano identiche a quelle legittime.

Oltre ai siti web dannosi, la backdoor si è infiltrata anche in repository di terze parti consolidati, tra cui APKPure, ApkSum e AndroidP, dove viene pubblicata in modo ingannevole con il nome dello sviluppatore ufficiale di Messenger, nonostante abbia una firma digitale diversa.

Gli analisti hannodentil malware come dotato di un'eccezionale capacità di rubare informazionident, tra cuidentdi accesso, password e cronologie complete delle chat. La backdoor nasconde anche gli indicatori di account compromessi, nascondendo le connessioni di dispositivi di terze parti dagli elenchi delle sessioni attive di Telegram.

Inoltre, è in grado di rimuovere o aggiungere le sue vittime a canali e chat senza la loro approvazione, mascherando completamente queste azioni e trasformando gli account compromessi in strumenti per aumentare artificialmente gli iscritti ai canali Telegram.

Ciò che lo distingue dalle minacce Android convenzionali è l'utilizzo del database Redis per le operazioni di comando e controllo. Le versioni precedenti del malware si basavano sui tradizionali server C2, ma gli sviluppatori hanno integrato comandi basati su Redis.

Il malware manipola le funzionalità senza essere rilevato

Il rapporto afferma che la backdoor utilizza diverse tecniche per manipolare le funzionalità di messaggistica senza essere rilevata. Per le operazioni che non interferiscono con le funzionalità principali dell'app, gli hacker utilizzano mirror già pronti dei metodi di messaggistica, ovvero blocchi di codice separati responsabili di attività specifiche all'interno dell'architettura del programma Android.

Questo mirror consente all'app di visualizzare i messaggi di phishing all'interno di finestre che replicano perfettamente le di Telegram X. interfacce

Per altre operazioni che richiedono una maggiore integrazione, il malware utilizza il framework Xposed per modificare i metodi dell'app, consentendo funzionalità come nascondere chat specifiche, occultare dispositivi autorizzati e intercettare il contenuto degli appunti. Il malware backdoor utilizza i canali Redis e i server C2 per ricevere comandi estesi, tra cui il caricamento di SMS, contatti e contenuto degli appunti ogni volta che un utente riduce a icona o ripristina la finestra di Messenger.

Il monitoraggio degli appunti viene utilizzato dagli hacker per rubare dati, come password di portafogli crittografici, frasi mnemoniche o comunicazioni aziendalident, che sono state inconsapevolmente divulgate. La backdoor raccoglie informazioni sul dispositivo, dati delle applicazioni installate, cronologie dei messaggi e token di autenticazione e trasmette le informazioni agli hacker ogni tre minuti, mantenendo l'apparenza di una normale operazione di messaggistica di Telegram.