Une application malveillante qui se présente comme une version non officielle du télégramme a été téléchargé plus 100,000 fois, rapporté des chercheurs de sécurité Symantec.
L'application est appelée MobonoGram 2019, et il prétendait fournir plus de fonctionnalités que les versions officielles et autres non officielles disponibles aux utilisateurs. L'application qui est disponible dans Google Play en effet fourni une fonctionnalité de messagerie, mais son véritable objectif était d'exécuter subrepticement plusieurs services sur le dispositif ciblé et la charge «un flot ininterrompu de sites Web malveillants en arrière-plan".
En savoir plus sur MobonoGram 2019 Des applications malveillantes
Comme déjà mentionné, la MobonoGram 2019 app était disponible en téléchargement sur Google Play et a été téléchargé plus de 100,000 fois. Il pourrait même être téléchargé dans les pays où Telegram est interdit, comme l'Iran et la Russie, ainsi que les utilisateurs aux États-Unis.
L'application a également «utilisateurs autorisés à basculer entre l'anglais ou la langue persane (Persan)". Apparemment, les développeurs d'applications ont utilisé le code open-source de l'application du télégramme légitime qui a injecté leur code malveillant avant de le publier sur le Google Play Store.
Le développeur de MobonoGram 2019 app est Les développeurs RamKal. Les chercheurs croient que les développeurs ont publié au moins cinq mises à jour pour l'application sur Google Play avant qu'il ne soit descendu.
L'une des choses notables au sujet de l'application malveillante « inspirée » par télégramme est son mécanisme de persistance qui a impliqué une classe nommée Autostart (android.support.translations.english.autostart) la mise en œuvre d'un récepteur de radiodiffusion. Les développeurs ont également fait en sorte que ce service malveillant courir au premier plan parce que «un service de premier plan est rarement tué, même lorsque la mémoire est faible". Mais même est le service est tué, il serait encore en mesure de s'exécuter indéfiniment.
Une fois la course, le MobonoGram 2019 contacts d'applications malveillantes ses serveurs de commande et de contrôle pour recevoir les URL d'accès à partir du dispositif compromise, un agent utilisateur du navigateur pour dissimuler l'origine de la demande, ainsi que trois codes JavaScript.
Ces URL sont en train de changer en fonction de la situation géographique de l'adresse IP du périphérique. Les employés sont trois codes JavaScript pour la fraude de clic. Il convient de noter que les événements ne sont pas en cliquant vu en action, même si tous les codes JavaScript ont bien été chargés. Les chercheurs, cependant, ne peut pas écarter totalement la possibilité de “le logiciel malveillant utilisé pour la fraude de clic ou d'une autre façon malicieuse“, comme indiqué dans leur rapport.
Ce n'est pas la première application malveillante développée par le même groupe. Whatsgram est un autre exemple du portefeuille des acteurs de la menace.