虚假间谍Telegram通过Google Play传播六万多次

卡巴斯基安全人员近日发现，有恶意克隆的Telegram通过Google Play进行传播，被下架前下载次数已超过六万多次。

恶意版本的 Telegram 是针对中文用户和维吾尔族少数民族量身定制的，因此可判别为是境外敌对势力的针对性攻击。

安全人员报告称，这些应用程序表面上和正版 Telegram 一模一样，但其代码中加入了能够窃取用户数据的恶意功能。

恶意版 Telegram 代码中包含的“com. wsys' 的代码包可以窃取用户的通讯录，并且收集用户名、用户 ID 和电话号码。

用户通过恶意程序接收到消息时，间谍软件就会直接向域名为sg[.]telegrnm[.]org 的命令和控制(c2)服务器发送副本。

被截获并且向攻击者服务器发送的信息包括了受害者当前的聊天内容、聊天/通道标题和ID，以及发送方的名称和ID。

此外，间谍软件会监控受感染的应用程序，并识别和监控受害者用户名和身份信息，并且随时收集通讯录增量信息。

谷歌在接到卡巴斯基安全人员的报告后立即下架了相关间谍软件，并在公告称一旦违反相关政策就会采取适当行动。

_{图源 Google Play}

但安全人员注意到搜索巨人似乎没有彻底清理这些间谍软件，目前仍有一些恶意应用能够通过Google Play成功下载。

恶意版 Telegram 在相关介绍页面将自己包装成是比正版 Telegram 更快的宣传，但却绝口不提窃取数据的间谍功能。

值得注意的，今年早些时候安全人员还发现了恶意版本的Signal 和 WhatsApp，也被认为主要针对中文用户定制的。

由此可见敌对势力亡我之心不死，我辈必须小心警惕！当然话说回来，咱99.99%的人应该无法使用Google Play的吧。

卡巴斯基在报告中指出，恶意版 Telegram 的安装量超过六万多次，可想而知受到敌对势力影响的人也超过六万人了。

学校群此前曾转发网警提示，筛查是否安装密聊猫、纸飞机（Telegram）、蝙蝠、事密达、海鸥等非主流社交软件。

当时笔者和同事就有过探讨，这些软件是通过什么渠道进入学生手机的，希望网警也能对这些渠道进行筛查和封堵。

最后必须要再强调的一点，提醒各位朋友安装软件务必去手机自带的应用商店安装，或者是通过官网安装正规软件。

参考材料链接：

https://www.bleepingcomputer.com/news/security/evil-telegram-android-apps-on-google-play-infected-60k-with-spyware/