Telegram vira arma de hackers para espalhar apps clonados que roubam dados
Por Jaqueline Sousa • Editado por Jones Oliveira |
Criminosos digitais estão usando aplicativos legítimos para espalhar softwares maliciosos em aparelhos Android via Telegram.
- Campanha de phishing usa código de autenticação Microsoft 365 para roubar contas
- Malware em PDF é armadilha para roubar dados de usuários de iPhone e Android
Segundo especialistas do Group-IB, os hackers enganam as vítimas clonando apps populares, apostando na confiança nas marcas para distribuir um dropper que implanta um payload agressivo sem precisar de uma conexão ativa com a internet para fincar as garras no sistema.
A ação ocorre a partir do sequestro de SMS da vítima usando o Wonderland, um stealer que consegue executar comandos maliciosos em tempo real. O canal de infecção ocorre pelo Telegram, com a plataforma de mensagens servindo como centro de comando das operações.
Neste primeiro momento, a campanha foi identificada apenas entre habitantes do Uzbequistão.
Aplicativos falsos para roubar mensagens
Descoberto pela primeira vez em novembro de 2023, o malware se esconde por trás de aplicativos legítimos da Play Store, assim como campanhas publicitárias no Facebook, contas falsas em apps de namoro e aplicativos de mensagens, sendo o Telegram o principal vetor.
Geralmente, o que ocorre é o roubo de contas pelo Telegram que são vendidas em mercados clandestinos da dark web. Dessa forma, os hackers conseguem distribuir o software malicioso entre os contatos da vítima.
Assim que é instalado, o malware obtém acesso ao canal de mensagens SMS, interceptando senhas de uso único (códigos temporários usados para verificar a autenticidade do usuário), que são usadas para invadir perfis que possuem informações sensíveis do alvo, como credenciais bancárias.
Os hackers também conseguem recuperar números de telefone, exfiltrar listas de contatos, ocultar notificações com alertas de segurança e enviar SMS para continuar propagando o malware a partir do dispositivo comprometido.
Permissão de acessos
Outro ponto observado por pesquisadores é que, para o malware operar integralmente, o usuário precisa permitir a instalação de fontes desconhecidas no aparelho, já que o app clonado não está na loja oficial de aplicativos do Android.
No momento em que a vítima concede o acesso, sem saber que está sendo enganada, os criminosos conseguem sequestrar o número do celular, iniciando uma “cadeia de infecção cíclica” que pode causar grandes estragos.
Vale mencionar ainda que o dropper tem uma ação estratégica própria, já que as operações buscam aparentar uma legitimidade inofensiva para os usuários antes de dar o bote. Logo, em meio ao descuido, os hackers conseguem burlar verificações de segurança, usando alguns truques sofisticados para permanecerem indetectáveis por um longo período de tempo.
Leia também:
- Campanha engana usuários com alerta falso de extensão no navegador
- Campanha de phishing rouba contas no WhatsApp via código de pareamento
- Malware usa API do Google Drive para controlar o Windows secretamente
Fonte: The Hacker News