生成的データ インテリジェンス

サイバーセキュリティ

「Evil Telegram」スパイウェア キャンペーンで 60 万人以上のモバイル ユーザーが感染

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 47

公式 Google Play アプリ ストア内で一連の正規の Telegram 「MOD」を装った危険なスパイウェアが数万回ダウンロードされており、その存在はビジネス ユーザーに深刻な影響を及ぼしています。

人気のメッセージング クライアント用に変更されたアプリケーション (「MOD」) は、Telegram エコシステムのよく知られた部分です。 Mod は、公式クライアントの標準機能をすべて備えたアプリですが、追加機能が追加されています。 Telegram の場合、この種の開発は会社によって積極的に奨励されており、完全に合法であると考えられています。

残念ながら、カスペルスキーの調査によると、未知の脅威アクターは、テレグラム MOD の存在を公式に認めたことを利用して、サイバースパイ活動の新たな手段を作り出しており、これを「邪悪なテレグラム」と呼ぶのがふさわしいとされています。

「テレグラム MOD はキノコのように出現しています…[しかし] メッセンジャー MOD は細心の注意を払って扱う必要があります」と、 Evil Telegram に関するカスペルスキーの調査結果、8月XNUMX日に出版されました。

KnowBe4 のセキュリティ意識向上推進者である Erich Kron 氏は、サイバー犯罪者の魅力は明らかだと述べています。

「Telegram、Signal、WhatsApp などのアプリがエンドツーエンドの暗号化によるセキュリティを宣伝しているため、多くのユーザーはプラットフォームが安全であることを連想し、サードパーティ製アプリが使用されることによる影響を考慮していません」とクロン氏は言います。 「公式アプリでは利用できない追加機能を宣伝したり、パフォーマンスや効率の向上を約束したりすることで、悪意のある者はこれらのサードパーティ アプリを非常に魅力的なものにすることができます。」

中国で紙飛行機スパイウェアが飛翔

Evil Telegram のトレンドの一例として、カスペルスキーの研究者は、Google Play 上で自らを「紙飛行機」と称する一連の感染アプリを発見しました。 ウイグル、簡体字中国語版と繁体字中国語版のメッセージング アプリ。 Google Play の説明では、世界中のデータセンターの分散ネットワークのおかげで他のクライアントよりも高速であると主張してユーザーを誘い込みます。

「一見すると、これらのアプリは、ローカライズされたインターフェイスを備えた本格的な Telegram クローンのように見えます。 すべてが本物とほぼ同じように見え、動作します」とカスペルスキーは述べています。 「[しかし] Google Play モデレーターの注意を逃れた小さな違いがあります。感染したバージョンには追加の [悪意のある] モジュールが含まれています。」 投稿では、「彼らのコードは元の Telegram コードとほんのわずかしか異なっていないため、Google Play のセキュリティ チェックはスムーズに行われます。」と付け加えられています。

この隠しモジュールは、メッセンジャー内のあらゆるアクティビティを常に監視し、すべての連絡先、添付ファイル付きの送受信メッセージ、チャット/チャネルの名前、アカウント所有者のメッセンジャーの名前と電話番号を盗み出す強力なスパイウェアであることが判明しました。

心配なのは、これらのアプリは合計で 60,000 回以上ダウンロードされており、おそらく被害者に関する情報を収集し続けていることです。 これは、繰り返し迫害されてきた中国国内の少数民族をターゲットにしたウイグル語版に関しては特に懸念される。 過去にスパイウェアの標的にされたことがあるおそらく政府諜報機関の命令によるものでしょう。 市民社会と反体制派は一般に、暗号化されたメッセージングに頼る傾向があります 彼らが批判する抑圧的な政権の注目を避けるためだ。

カスペルスキーの研究者らは、今後の感染を防ぐためにこれらのアプリを削除するようGoogleに報告したが、一部のバージョンは依然としてPlayストアで入手可能だと述べた。 GoogleはDark Readingからのコメント要請にすぐには返答しなかった。

悪意のあるメッセージング アプリが増加中

紙飛行機攻撃はニッチで政治的標的となる可能性があるものだが、クリティカル・スタート社のサイバー脅威研究シニアマネージャー、カリー・ギュンサー氏は、日常の企業も邪悪な電報のトレンドに従うべきだと警告する。

「モバイル スパイウェアの進化は、スマートフォンの普及と、スマートフォンに保存される豊富な個人データと企業データに起因すると考えられます。」と彼女は言います。 「モバイル スパイウェアは周辺現象ではなく、主流のサイバー脅威です。 企業は日々のコミュニケーションにおいてメッセンジャー アプリへの依存度をますます高めています。 最近のスパイウェアの発見は、組織が警戒を緩めることができないことを厳しく思い出させてくれます。」

感染したアプリは、企業の機密データへの不正アクセスにつながる可能性があります。 ビジネス戦略、取引、または知的財産の暴露。 従業員の個人情報が侵害され、個人情報の盗難や詐欺の危険があると彼女は付け加えました。

「さまざまな非公式の Telegram Mod を利用した攻撃が最近増加している」とカスペルスキーの研究者は警告し、スパイウェアへの軸足はトロイの木馬化された Telegram アプリの進化を表していると付け加えた。

カスペルスキーによれば、「多くの場合、ユーザーのメッセージ内の暗号ウォレットのアドレスを置き換えたり、広告詐欺を実行したりする」という。 「それらとは異なり、[最新の]アプリは本格的なスパイウェアの一種であり、被害者の通信内容、個人データ、連絡先全体を盗むことができます。」

実際、紙飛行機の発見は ESET の後に続いています。 Telegram の別のスパイウェア バージョンが最近発見されました、FlyGramと呼ばれる、Google PlayおよびSamsung Galaxy Storeで入手可能でした。 ESET はまた、これらの同じストアにある Signal Plus Messenger と呼ばれる、Signal 暗号化メッセージング アプリのトロイの木馬化バージョンに潜んでいる同じマルウェアを発見しました。

ビジネス ユーザーをモバイル スパイウェアから保護する

Kaspersky によれば、「ほとんどのユーザーは、Google Play で検証され公開されているアプリを依然として盲目的に信頼しています」とのことです。 企業は自社を守るために、Google Play であってもマルウェアの影響を受けないわけではないこと、特に人気のあるメッセンジャーの代替クライアントは避けるべきであることを従業員に思い出させる必要があります。

研究者らによると、公式アプリであっても、名前だけでなく開発者にも注意を払い、ユーザーの否定的なレビューにも注意して精査する必要があるという。

クロン氏は、「従業員がこのような媒体を介してコミュニケーションできるようにしている組織では、公式アプリケーションのみを使用し、たとえ公式アプリ ストアからダウンロードした場合でもサードパーティ アプリの危険性についてユーザーに教育することが重要です。」と述べています。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.