Telegram est rapidement devenu l’un des services de messagerie les plus populaires. Cependant, profitant de sa popularité, les acteurs malveillants auraient commencé à publier de fausses versions de l’application Telegram chargées de logiciels espions sur le Play Store.
Selon Igor Golovin, chercheur en cybersécurité chez Kaspersky, ces acteurs malveillants ont spécifiquement conçu ces applications pour collecter des informations sensibles sur les utilisateurs, telles que des messages, des listes de contacts, etc. En outre, le fait que ces applications ciblent spécifiquement les utilisateurs sinophones et la minorité ethnique ouïghoure soulève des inquiétudes supplémentaires, dans la mesure où cette opération pourrait potentiellement être liée à la surveillance de l’État.
Comment fonctionnent les fausses versions de l’application Telegram ?
Ces applications attirent les victimes sans méfiance en se présentant comme des versions plus rapides de l’application Telegram, imitant fidèlement son interface et ses fonctionnalités. De plus, avec plus de 60 000 installations, il est évident que cette campagne a réussi à attirer un nombre important de victimes potentielles.
Bien que ces applications puissent ressembler à la véritable application Telegram, le rapport révèle qu’elles contiennent une étiquette supplémentaire, « com.wsys », qui envoie des copies de tous les messages et informations personnelles de l’utilisateur au serveur de commande et de contrôle (C2) de l’opérateur. situé à « sg[.]télégrnm[.]organisation. » De plus, l’application surveille systématiquement le nom d’utilisateur, l’identifiant et la liste de contacts de la victime pour détecter tout changement, transmettant rapidement les informations mises à jour aux acteurs malveillants lorsqu’ils sont détectés.
La réponse de Google
En réponse à ces rapports, Google a heureusement supprimé ces applications du Play Store et a déclaré : « Nous prenons au sérieux les réclamations en matière de sécurité et de confidentialité contre les applications, et si nous constatons qu’une application a enfreint nos politiques, nous prenons les mesures appropriées. Les utilisateurs sont également protégés par Google Play Protect, qui peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant sur les appareils Android dotés des services Google Play.
Cependant, cet incident survient quelques jours seulement après qu’un rapport d’ESET a souligné la prévalence de la campagne de malware BadBazaar, qui exploitait une version malveillante de Telegram pour collecter des sauvegardes de chat. Par conséquent, les utilisateurs doivent faire preuve de prudence lorsqu’ils téléchargent différentes versions de l’application, même depuis le Play Store.