ハッカーがTelegramメッセンジャーにマルウェアを仕掛けてシステム制御を狙う

報道によると、この マルウェアは 、偽装アプリ内広告や、正規の出会い系・コミュニケーションプラットフォームを装ったサードパーティ製アプリストアを通じてデバイスに送り込まれます。この脅威はモバイルマルウェアの拡散の著しい増加を示しており、感染デバイスは58,000台に上ります。

さらに、3,000 台以上のスマートフォン、タブレット、TV ボックス、一部の Android ベースの車両システムにも広がっています。.

ハッカーはマルウェアを使ってTelegramにアクセスしようとしています

報告書 によると 、バックドアの配布は2024年に開始され、ハッカーはポルトガル語とインドネシア語のテンプレートを用いて、主にブラジルとインドネシアのユーザーを標的にしていたという。被害者はモバイルアプリ内で広告に遭遇し、偽のレビューや無料ビデオチャットや出会い系サイトを宣伝するプロモーションバナーが掲載された偽のアプリカタログにリダイレクトされる。これらの偽ウェブサイトは、 マルウェアが 正規のアプリと見た目がそっくりな

悪意のある Web サイト以外にも、バックドアは APKPure、ApkSum、AndroidP などの定評のあるサードパーティのリポジトリにも侵入し、異なるデジタル署名が付いているにもかかわらず、公式のメッセンジャー開発者の名前で偽装して投稿されています。.

アナリストは、このマルウェアがログインdent情報、パスワード、チャット履歴全体を含むdent情報を盗む優れた能力を備えていると特定しdent。また、このバックドアは、アクティブなTelegramセッションリストからサードパーティのデバイス接続を隠すことで、侵害されたアカウントの兆候を隠蔽します。.

さらに、被害者の承認なしにチャンネルやチャットから削除したり追加したり、これらの行為を完全に偽装したり、侵害されたアカウントを Telegram チャンネルの登録者数を人為的に増やすツールに変換したりする機能もあります。.

このマルウェアが従来のAndroid向け脅威と異なる点は、コマンド＆コントロール（C&C）操作にRedisデータベースを使用している点です。以前のバージョンでは従来のC&Cサーバーに依存していましたが、開発者はRedisベースのコマンドを統合しています。.

マルウェアは検知されずに機能を操作します

報告書によると、このバックドアは複数の手法を用いて、検知されることなくメッセンジャーの機能を操作するという。アプリのコア機能に干渉しない操作については、ハッカーはメッセンジャーメソッドのミラー（Androidプログラムアーキテクチャ内の特定のタスクを担う独立したコードブロック）を既に用意して使用している。.

このミラーにより、アプリは元の Telegram X インターフェースを完全に複製したウィンドウ内にフィッシング メッセージを表示できるようになります。

より深い統合を必要とするその他の操作については、マルウェアはXposedフレームワークを使用してアプリのメソッドを変更し、特定のチャットの非表示、承認済みデバイスの隠蔽、クリップボードの内容の傍受などの機能を実現します。バックドアマルウェアは、RedisチャネルとC2サーバーを使用して、ユーザーがメッセンジャーウィンドウを最小化または復元するたびに、SMS、連絡先、クリップボードの内容のアップロードなど、広範なコマンドを受信します。.

クリップボード監視機能は、ハッカーが暗号通貨ウォレットのパスワード、ニーモニックフレーズ、あるいは知らないうちに漏洩した機密dentの高いビジネスコミュニケーションなどのデータを盗むために利用されます。このバックドアは、デバイス情報、インストールされたアプリケーションデータ、メッセージ履歴、認証トークンを収集し、通常のTelegramメッセンジャーの動作を装いながら、3分ごとにハッカーに情報を送信します。.