В клиенте Telegram из магазина приложений APKPure обнаружили код, отправляющий данные пользователей на сторонний сервер

Эксперт в области информационной безопасности Эрик Паркер выявил скрытую угрозу в неофициальной сборке мессенджера Telegram, размещенной на платформе APKPure. В процессе реверс-инжиниринга установочного файла специалист обнаружил внедренный вредоносный модуль, полностью отсутствующий в оригинальном приложении. Данный фрагмент кода, обозначенный разработчиками модификации как класс DataCollector, предназначен для несанкционированного извлечения и передачи конфиденциальной информации на удаленный сервер, локализованный в Гонконге.

В перечень похищаемых сведений входят телефонные номера, параметры учетных записей, характеристики SIM-карт, а также широкий спектр файлов с мобильного устройства: от документов до личных фотографий и видеозаписей. Алгоритм кражи данных активируется автоматически в момент авторизации пользователя в системе, а внутренние метки кода прямо указывают на функцию скрытого экспорта информации.

Журналисты издания «Код Дурова» провели независимую проверку инцидента и установили, что скомпрометированная программа обладает уникальной цифровой подписью. Она кардинально отличается от сертификата, используемого на официальном сайте мессенджера. Примечательно, что на момент исследования угроза оставалась практически незаметной для защитного программного обеспечения. База VirusTotal зафиксировала лишь одно срабатывание антивируса из пятидесяти шести возможных. Специалисты связывают столь низкий уровень детекции с недавним появлением данной сборки в сети.

Подобные инциденты, затрагивающие альтернативные источники дистрибуции приложений, фиксировались и ранее. В 2021 году аналитики «Лаборатории Касперского» совместно с Dr. Web диагностировали заражение самого клиента магазина APKPure. В систему был интегрирован троян Triada, который загружал сторонние модули и транслировал навязчивую рекламу, однако позже администрация сервиса устранила эту уязвимость. Спустя некоторое время сообщество столкнулось с распространением через сторонние площадки модифицированных версий Telegram X. Эти дистрибутивы также имели поддельные цифровые подписи и содержали скрытые бэкдоры.

Смежная проблема недавно затронула и платформу iOS. В прошлом месяце корпорация Apple присвоила статус вредоносного ПО неофициальному клиенту под названием Telega. Поводом для блокировки послужили публикации ИБ-исследователей о наличии в программе скрытых инструментов для перехвата трафика между устройством и сервером. Сами создатели альтернативного мессенджера категорически отрицают наличие подобных функций.

Источник: Habr