Hackers usam malware no aplicativo Telegram para obter controle do sistema

Segundo relatos, o malware é enviado para os dispositivos por meio de anúncios enganosos em aplicativos e lojas de aplicativos de terceiros que se disfarçam de plataformas legítimas de namoro e comunicação. Essa ameaça representa uma escalada significativa na distribuição de malware para dispositivos móveis, tendo se espalhado por 58.000 dispositivos infectados.

Além disso, também se espalhou por mais de 3.000 smartphones, tablets, TV boxes e alguns sistemas veiculares baseados em Android.

Hackers usam malware no Telegram para obter acesso

O relatório afirma que a distribuição do backdoor começou em 2024, com o hacker visando principalmente usuários brasileiros e indonésios por meio de modelos em português e indonésio. As vítimas se deparam com anúncios dentro do aplicativo móvel, que as redirecionam para catálogos de aplicativos falsos com avaliações falsas e banners promocionais anunciando videochamadas gratuitas e oportunidades de encontros. Esses sites falsos distribuem aplicativos infectados com malware que são idênticos aos legítimos.

Além dos sites maliciosos, o backdoor também se infiltrou em repositórios de terceiros estabelecidos, incluindo APKPure, ApkSum e AndroidP, onde é postado de forma enganosa sob o nome do desenvolvedor oficial do aplicativo de mensagens, apesar de possuir uma assinatura digital diferente.

Analistasdento malware como tendo uma capacidade excepcional de roubar informaçõesdent, incluindodentde login, senhas e históricos completos de conversas. O backdoor também oculta indicadores de contas comprometidas, escondendo conexões de dispositivos de terceiros das listas de sessões ativas do Telegram.

Além disso, é capaz de remover ou adicionar suas vítimas a canais e chats sem a aprovação delas, disfarçando completamente essas ações e transformando contas comprometidas em ferramentas para inflar artificialmente o número de inscritos em canais do Telegram.

O que o diferencia das ameaças convencionais para Android é o uso do banco de dados Redis para operações de comando e controle. As versões anteriores do malware dependiam de servidores C2 tradicionais, mas os desenvolvedores integraram comandos baseados em Redis.

O malware manipula funcionalidades sem ser detectado

O relatório afirma que o backdoor utiliza diversas técnicas para manipular as funcionalidades do aplicativo de mensagens sem ser detectado. Para operações que não interferem nas funções principais do aplicativo, os hackers utilizam cópias pré-preparadas dos métodos do aplicativo, que são blocos de código separados responsáveis ​​por tarefas específicas dentro da arquitetura do programa Android.

Este recurso de espelhamento permite que o aplicativo exiba mensagens de phishing em janelas que replicam perfeitamente as do Telegram X. interfaces

Para outras operações que exigem uma integração mais profunda, o malware utiliza o framework Xposed para modificar os métodos do aplicativo, permitindo funcionalidades como ocultar conversas específicas, esconder dispositivos autorizados e interceptar o conteúdo da área de transferência. O malware backdoor utiliza os canais Redis e servidores C2 para receber comandos abrangentes, incluindo o envio de SMS, contatos e conteúdo da área de transferência sempre que um usuário minimiza ou restaura a janela do aplicativo de mensagens.

O monitoramento da área de transferência é usado por hackers para roubar dados, como senhas de carteiras de criptomoedas, frases mnemônicas ou comunicações comerciaisdentque foram expostas sem o conhecimento do usuário. O backdoor coleta informações do dispositivo, dados de aplicativos instalados, histórico de mensagens e tokens de autenticação, e transmite essas informações aos hackers a cada três minutos, mantendo a aparência de uma operação normal do Telegram.