Pierwszy sterowany trojan przez komunikator Telegram

Analiza przeprowadzona przez firmę Avast ujawniła właśnie pierwszego trojana dla systemu Android, który wykorzystuje publiczne API Telegramu do zaprogramowania własnego klienta dla systemu od Goggle’a. Ów klient wykorzystywany jest w trojanie do przekierowywania użytkowników do pobierania szpiegujących programów. Na razie tylko internautów z Iranu…

Telegram, oprócz szyfrowania komunikacji end-to-end, która działa w oparciu o szyfry AES-256, RSA-2018 i klucz wymiany DH, umożliwia każdemu deweloperowi stworzenie własnego rozwiązania wymieniającego dane pomiędzy wszystkimi klientami w formie zaszyfrowanego czatu przesyłanego szyfrowanym protokołem HTTPS. Tradycyjnie w wymianie wiadomości pomiędzy użytkownikami Telegramu pośredniczy serwer producenta. Publicznie i darmowe API umożliwia zaprogramowanie takiej aplikacji, która niekoniecznie będzie wykorzystywana zgodnie z prawem.

Opisywana kampania dotyczy szpiegowania przez zainstalowaną z aplikację z niezaufanego źródła. W tym konkretnym przypadku mówimy o scam’ie na Facebooku – ktoś zachęca użytkowników do pobrania aplikacji wyświetlającej informacje o osobach, które wyświetliły konto ofiary lub osobach, które „odlajkowały” profil użytkownika. W tym pierwszym przypadku, rzekoma ilość wyświetleń profilu, generowana jest losowo.


Ponad 7 milionów wyświetleń profilu – to tylko pseudolosowa liczna.

Złośliwa aplikacja po kilku minutach zamyka się i usuwa ikonę.


Użytkownik może uwierzyć, że aplikacja została usunięta. Tak jednak nie jest.

Trojan działa w tle. Jego funkcje są bardzo rozbudowane. Szpiegowanie polega na kradzieży informacji z urządzenia i wysyłaniu ich za pośrednictwem szyfrowanego kanału do serwera kontrolowanego przez przestępców:

  • zdjęcia użytkownika (przeszukuje galerię oraz używa przedniego aparatu do robienia zdjęć)
  • wykradane są kontakty z książki adresowej i z listy połączeń przychodzących i wychodzących,
  • wiadomości SMS
  • informacje o koncie Google
  • informacje o lokalizacji

Twórcy trojana mogą wysyłać różne dodatkowe polecenia:

  • dzwonienia i wysyłania wiadomości
  • przekazywania informacji o zainstalowanych aplikacjach
  • usuwania plików zapisanych na urządzeniu

Co ciekawe, osoba atakująca nie jest jedyną, która ma dostęp do skradzionych informacji:


Ktoś zapomniał zabezpieczyć serwera przed ciekawskimi.

Program szpiegujący przesyła wszystkie pliki za pośrednictwem skryptu PHP i zapisuje je w katalogu „/rat/uploads” na serwerze. Pliki te są dostępne dla każdego. Ktoś nie popisał się z zabezpieczeniem danych albo nie zwracał na to uwagi.

Aby chronić się przed podobnymi atakami, należy instalować aplikacje tylko z zaufanego źródła oraz zwracać uwagę na przyznawane uprawnienia instalowanym programom.




Podobne artykuły

Komunikator Signal Private Messenger – prawdopodobnie jeden z najbezpieczniejszych środków...
Amnesty International twierdzi, że firmy, takie jak Snapchat i właściciel Skype — Microsoft —...

Dodaj komentarz