Een kwaadwillende app die zelf aangeprezen als een niet-officiële versie van Telegram werd meer dan gedownload 100,000 tijden, meldde Symantec security onderzoekers.
De app heet MobonoGram 2019, en beweerd om meer functies dan de officiële en andere niet-officiële versies beschikbaar om gebruikers te voorzien. De app, die beschikbaar zijn in Google was Play inderdaad op voorwaarde dat sommige messaging-functionaliteit, maar het echte doel was om een aantal diensten in het geheim uitgevoerd op de beoogde apparaat en de belasting “een eindeloze stroom van kwaadaardige websites op de achtergrond".
Meer over MobonoGram 2019 Schadelijke App
Zoals reeds gezegd, de MobonoGram 2019 app was beschikbaar voor download op Google Play en is meer dan gedownload 100,000 tijden. Het kan worden gedownload, zelfs in landen waar Telegram zodanig wordt verboden als Iran en Rusland, alsmede gebruikers in de Verenigde Staten.
De app ook “gebruikers in staat stelde om te schakelen tussen Engels of in de Perzische taal (Farsi)". Blijkbaar, de app-ontwikkelaars gebruik gemaakt van de open-source code van de legitieme Telegram app die hun kwaadaardige code alvorens het te publiceren in de Play Store geïnjecteerd.
De ontwikkelaar van MobonoGram 2019 app is RamKal Ontwikkelaars. De onderzoekers zijn van mening dat de ontwikkelaars gepubliceerd ten minste vijf updates voor de app op Google Play voordat het naar beneden werd genomen.
Een van de opmerkelijke dingen over de kwaadaardige app door Telegram “geïnspireerd” is haar volharding mechanisme dat een klasse met de naam Autostart betrokken (android.support.translations.english.autostart) implementeren van een uitzending ontvanger. De ontwikkelaars er ook voor gezorgd dat dit kwaadaardige dienst zou lopen op de voorgrond, omdat “een voorgrond dienst wordt zelden gedood, zelfs wanneer het geheugen laag is". Maar ook wordt de dienst wordt gedood, het zou nog steeds in staat zijn om zich voor onbepaalde tijd uit te voeren.
Zodra running, de MobonoGram 2019 kwaadaardige app contacten zijn command and control servers om URL's te ontvangen te bereiken vanaf de gecompromitteerde apparaat, een browser user agent om de oorsprong van het verzoek te verbergen, evenals drie JavaScript codes.
Deze URL's zijn ingesteld om te veranderen op basis van de geografische locatie van het IP-adres van het apparaat. De drie JavaScript-codes worden gebruikt voor klikfraude. Opgemerkt dient te worden dat het klikken op gebeurtenissen die niet werden gezien in actie, hoewel alle JavaScript codes inderdaad werden geladen. De onderzoekers, echter, niet geheel de mogelijkheid verwerpen “de malware wordt gebruikt voor klikfraude of een andere kwaadaardige einde“, zoals in hun verslag.
Dit is niet de eerste kwaadaardige app ontwikkeld door dezelfde groep. Whatsgram is een ander voorbeeld van de portefeuille van de dreiging acteurs.