Una aplicación maliciosa que anunciaba como una versión no oficial del telegrama fue descargado más de 100,000 veces, reportadas investigadores de seguridad de Symantec.
La aplicación se llama MobonoGram 2019, y que pretendía proporcionar más características que las versiones oficiales y otros no oficiales a disposición de los usuarios. La aplicación que estaba disponible en Google Play de hecho proporciona algunas funciones de mensajería, pero su verdadero propósito era ejecutar de forma encubierta varios servicios en el dispositivo de destino y la carga “un sinfín de sitios web maliciosos en el fondo".
Más sobre MobonoGram 2019 Aplicación malicioso
Como ya se ha mencionado, la MobonoGram 2019 aplicación estaba disponible para su descarga en Google Play y fue descargado más de 100,000 veces. Podría ser descargado incluso en países donde está prohibido Telegrama como Irán y Rusia, así como los usuarios en los Estados Unidos.
La aplicación también “permitía a los usuarios cambiar entre Inglés o la lengua persa (Farsi)". Al parecer,, los desarrolladores de aplicaciones utilizan el código de fuente abierta de la aplicación legítima de telegramas que inyecta su código malicioso antes de publicarla en Play Store.
El desarrollador de MobonoGram 2019 aplicación es RamKal Desarrolladores. Los investigadores creen que los desarrolladores publican al menos cinco actualizaciones para la aplicación en Google Play antes de que fuera derribado.
Una de las cosas notables acerca de la aplicación maliciosa “inspirado” por telegrama es su mecanismo de persistencia que involucró a una clase llamada de inicio automático (android.support.translations.english.autostart) la implementación de un receptor de radiodifusión. Los desarrolladores también se aseguraron de que este servicio malintencionado podría ejecutar en el primer plano, porque “un servicio de primer plano rara vez se mató, aun cuando queda poca memoria". Pero incluso el servicio se muere, todavía sería capaz de ejecutar indefinidamente.
Una vez en ejecución, la MobonoGram 2019 contactos de aplicaciones maliciosas sus servidores de comando y control para recibir direcciones URL para acceder desde el dispositivo comprometido, un agente de usuario del navegador para ocultar el origen de la solicitud, así como tres códigos de JavaScript.
Estas direcciones URL se ajustan a cambios basados en la localización geográfica de la dirección IP del dispositivo. Los tres códigos de JavaScript se emplean para el fraude de clics. Cabe señalar que los eventos haciendo clic no fueron vistos en acción, a pesar de que todos los códigos de JavaScript se cargan de hecho. Los investigadores, sin embargo, no se puede descartar por completo la posibilidad de “el malware que se utiliza para el fraude de clics o algún otro fin malicioso“, como se señala en su informe.
Esta no es la primera aplicación maliciosa desarrollado por el mismo grupo. Whatsgram es otro ejemplo de la cartera de los agentes de amenaza.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: