Um aplicativo malicioso que se anunciava como uma versão não oficial do telegrama foi baixado mais de 100,000 vezes, relatados pesquisadores de segurança Symantec.
O aplicativo é chamado MobonoGram 2019, e alegou fornecer mais recursos do que as versões oficiais e não oficiais disponíveis para os usuários. O aplicativo que estava disponível no Google Play realmente fornecia algumas funcionalidades de mensagens, mas seu verdadeiro propósito era executar secretamente vários serviços no dispositivo de destino e carregar “um fluxo infinito de sites maliciosos em segundo plano”.
Mais sobre MobonoGram 2019 Aplicativo Malicioso
Como já mencionado, a MobonoGram 2019 aplicativo estava disponível para download no Google Play e foi baixado mais de 100,000 vezes. Ele pode ser baixado até mesmo em países onde o Telegram é proibido, como Irã e Rússia, bem como usuários nos Estados Unidos.
O aplicativo também “permitiu que os usuários alternassem entre inglês ou persa (Farsi)”. Pelo visto, os desenvolvedores de aplicativos utilizaram o código-fonte aberto do aplicativo Telegram legítimo, que injetou seu código malicioso antes de publicá-lo na Play Store.
O desenvolvedor do MobonoGram 2019 app é Desenvolvedores RamKal. Os pesquisadores acreditam que os desenvolvedores publicaram pelo menos cinco atualizações para o aplicativo no Google Play antes de ele ser removido.
Uma das coisas notáveis sobre o aplicativo malicioso “inspirado” no Telegram é seu mecanismo de persistência que envolveu uma classe chamada Autostart (android.support.translations.english.autostart) implementação de um receptor de transmissão. Os desenvolvedores também garantiram que esse serviço malicioso fosse executado em primeiro plano porque “um serviço de primeiro plano raramente é eliminado, mesmo quando a memória está baixa”. Mas mesmo se o serviço for morto, ainda seria capaz de se executar indefinidamente.
Depois de correr, o MobonoGram 2019 aplicativo malicioso contata seus servidores de comando e controle para receber URLs para acessar do dispositivo comprometido, um agente de usuário do navegador para ocultar a origem da solicitação, bem como três códigos JavaScript.
Esses URLs são configurados para mudar com base na localização geográfica do endereço IP do dispositivo. Os três códigos JavaScript são empregados para fraude de cliques. Deve-se observar que os eventos de clique não foram vistos em ação, mesmo que todos os códigos JavaScript tenham sido carregados. Os pesquisadores, Contudo, não pode descartar totalmente a possibilidade de “o malware sendo usado para fraude de cliques ou algum outro fim malicioso“, como observado em seu relatório.
Este não é o primeiro aplicativo malicioso desenvolvido pelo mesmo grupo. Whatsgram é outro exemplo do portfólio dos atores de ameaças.