Google Play上的間諜軟件通訊程式

研究人員在Google Play官方平台上發現數款普及的通訊程式「改版」,當中包括Telegram、Signal和WhatsApp,通常都包括官方客端欠缺的功能,然而今次卻發現內裡含有間諜軟件,用戶的對話內容和私隱全落入黑客手中。

受感染的中文及維吾爾文的Telegram

研究人員首先在Google Play上找到偽裝成維吾爾文、簡體中文和繁體中文版本的Telegram,應用稱式的描述為相應的語言並含有與官方Telegram網頁相似的圖像,為了說服用戶下載改版而非官方版,開發者聲稱透過全球的數據中心所以改版運作速度比官版快。

表面看來,這些應用程式似乎是完整力能Telegram的本地化版本,從圖像看幾可亂中,但分析當中的編碼就發現並非單純的本地語言小改版,被感染的版本含有一個沒有被Google Play發現的額外的模組,它持續監察通訊工具的運作並向間諜軟件製作者的C&C伺服器發送大量數據,包括所有聯絡人、發送和接收的訊息連附件、聊天或頻道名稱、帳號持有人的姓名和電話號碼,基本上就是用戶的所有通訊,即使用戶更改姓名或電話號碼,有關資料也會發送給攻擊者。

過去的間諜版Telegram和Singal

在不久之前有保安軟件公司的研究人員在Goolge Play上發現了另一款間諜版Telegram ——FlyGram,這應用程式沒有裝成官方版,並以另一款Telegram官端自居(其實只是改版),並成功在Google Play和Samsung Galaxy Store上架,而製作者也同時推出了感染版Signal版——Signal Plus Messenger到官方平台上,更為程式開設了網站flygram[.]org和signalplus[.]org。

應用程式本身擁有Telegram或Signal的完整功能,但FlyGram則會盜竊聯絡人、通話記錄、一系列Google帳號和其他受害者智能手機資料,更加入選項讓用戶備份資料,不過是儲存到攻擊者的伺服器內。Signal Plus則有點不同,惡意程式直接從受害者的智能電話上搜括大量資料,並容許攻擊者登入受害者的Signal帳號而不會收到通知,藉此實時讀取用戶的通訊。

FlyGram自2020年7月在Google Play上架,存在至2021年1月,而Signal Plus則在2022年7月上架,到2023年5月被Google Play移除,而Samsung Galaxy Store方面,據報所有應用程式在2023年8月底仍然上架,即使立即被下架,已經不知道有多少人的通訊已遭第三者閱讀。

受感染WhatsApp和Telegram傳詐騙加密錢包地址

在數個月之前,相同的研究人員發現了木馬版的WhatsApp和Telegram,目標是盜竊加密貨幣,攔截傳入的訊息並加入詐騙的加密錢包地址,另外有部份版本更會搜尋智能電話儲存的圖片以破解seed phrase,藉此取得加密錢包的完全控制。至於假Telegram應用程式則會盜竊用戶儲存在Telegram雲端上的用戶個人資料,當中包括設定檔案、電話號碼、聯絡人、訊息、發送或接收到的檔案等等,基本上盜竊除了在其他裝置建立的秘密聊天以外的所有資料。上述的應用程式並非經由Google Play傳播,而是從一系列的假網站及YouTube頻道。

避免成為受害者

以下的建議並不限於受感染的常用通訊程式,也對其他針對Android用戶的威脅有效:

  • 雖然Google Play並非完全與惡意程式絕緣,但官方商店遠比其資來源來得安全,所以還是下載和安裝的首選。
  • 「改版」的通訊工具要特別小心,開源的關係所有人都能創作改版,也難以防止當中加入惡意內容。
  • 即使在最官方商店下載最官方的版本,也要小心檢查網站,除了軟件名稱,也要留意開發商。
  • 閱讀有關應用程式的負評,如果當中有問題,應該有人會提及。
  • 在Android裝置安裝可靠的保安方案,惡意程式嘗試入侵時會發出警告。

資料來源:Kaspersky Blog