{"id":21744,"date":"2023-09-20T16:16:59","date_gmt":"2023-09-20T19:16:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21744"},"modified":"2023-09-20T16:16:59","modified_gmt":"2023-09-20T19:16:59","slug":"telegram-signal-malware-in-google-play","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/telegram-signal-malware-in-google-play\/21744\/","title":{"rendered":"Mensageiros de spyware no Google Play"},"content":{"rendered":"

Para aplicativos de mensagens populares, como Telegram, Signal e WhatsApp, existem alguns clientes<\/a> (n\u00e3o deve ser confundido com clientes<\/em> como em \u201cclientes<\/em> humanos\u201d) alternativos; quem optou por essa linguagem confusa precisa ser estudado. Esses aplicativos modificados, conhecidos como mods, geralmente fornecem aos usu\u00e1rios recursos e capacidades que n\u00e3o est\u00e3o dispon\u00edveis nos clientes oficiais.<\/p>\n

Embora o WhatsApp desaprove os mods, banindo-os periodicamente das lojas oficiais de aplicativos, o Telegram nunca travou uma guerra contra clientes alternativos; ele incentiva ativamente a cria\u00e7\u00e3o deles<\/a>, ent\u00e3o est\u00e3o chovendo mods do Telegram. Mas eles s\u00e3o seguros?<\/p>\n

Infelizmente, v\u00e1rios estudos recentes mostram que os mods de aplicativos de mensagens devem ser usados com muita cautela. Embora a maioria dos usu\u00e1rios ainda confie cegamente em qualquer aplicativo que tenha sido verificado e publicado no Google Play, destacamos repetidamente<\/a> os perigos: ao baixar um aplicativo no Google Play, voc\u00ea tamb\u00e9m pode pegar um Cavalo de Troia<\/a> (que teve mais de 100 milh\u00f5es de downloads), um backdoor<\/a>, um assinante<\/a> malicioso e\/ou muitos outros arquivos<\/a>.<\/p>\n

Not\u00edcia nova: Telegram infectado em chin\u00eas e uigur no Google Play<\/h2>\n

Come\u00e7aremos com uma hist\u00f3ria recente. Nossos especialistas descobriram v\u00e1rios aplicativos infectados<\/a> no Google Play sob o disfarce das vers\u00f5es em uigur, chin\u00eas simplificado e chin\u00eas tradicional do Telegram. As descri\u00e7\u00f5es do aplicativo s\u00e3o escritas nos respectivos idiomas e cont\u00eam imagens muito semelhantes \u00e0s da p\u00e1gina oficial do Telegram<\/a> no Google Play.<\/p>\n

Para persuadir os usu\u00e1rios a baixar esses mods em vez do aplicativo oficial, o desenvolvedor afirma que eles trabalham mais r\u00e1pido do que outros clientes, gra\u00e7as a uma rede distribu\u00edda de data centers em todo o mundo.<\/p>\n

\"Vers\u00f5es<\/a>

Vers\u00f5es em chin\u00eas simplificado, chin\u00eas tradicional e uigur do Telegram no Google Play com spyware<\/p><\/div>\n

\u00c0 primeira vista, esses aplicativos parecem ser clones completos do Telegram com uma interface localizada. Tudo parece e funciona quase da mesma maneira que o aplicativo real.<\/p>\n

Demos uma olhada no c\u00f3digo e descobrimos que os aplicativos s\u00e3o pouco mais do que vers\u00f5es ligeiramente modificadas do oficial. Dito isto, h\u00e1 uma pequena diferen\u00e7a que escapou da aten\u00e7\u00e3o dos moderadores do Google Play: as vers\u00f5es infectadas abrigam um m\u00f3dulo adicional. Ele monitora constantemente o que est\u00e1 acontecendo no aplicativo de mensagens e envia massas de dados para o servidor de comando e controle dos criadores do spyware: todos os contatos, mensagens enviadas e recebidas com arquivos anexados, nomes de bate-papos\/canais, nome e n\u00famero de telefone do propriet\u00e1rio da conta \u2014 basicamente toda a correspond\u00eancia do usu\u00e1rio. Mesmo que um usu\u00e1rio altere seu nome ou n\u00famero de telefone, essas informa\u00e7\u00f5es tamb\u00e9m s\u00e3o enviadas aos invasores.<\/p>\n

Anteriormente: vers\u00f5es de spyware do Telegram e do Signal no Google Play<\/h2>\n

Curiosamente, h\u00e1 pouco tempo, pesquisadores da ESET encontraram<\/a> outra vers\u00e3o de spyware do Telegram \u2014 FlyGram. Este nem tentou fingir ser oficial. Em vez disso, ele se posicionou como um cliente alternativo do Telegram (ou seja, apenas um mod) e conseguiu entrar n\u00e3o apenas no Google Play, mas tamb\u00e9m na Samsung Galaxy Store.<\/p>\n

O mais curioso \u00e9 que seus criadores n\u00e3o se limitaram a imitar apenas o Telegram. Eles tamb\u00e9m publicaram uma vers\u00e3o infectada do Signal nessas mesmas lojas, chamando-a de Signal Plus Messenger. E para aumentar a credibilidade, eles chegaram ao ponto de criar os sites flygram[.]org e signalplus[.]org para seus aplicativos falsos.<\/p>\n

\"Signal<\/a>

Tamb\u00e9m h\u00e1 um cliente de spyware no Google Play para Signal, chamado Signal Plus Messenger. (Fonte<\/a>)<\/p><\/div>\n

Esses aplicativos equivaliam ao Telegram\/Signal em seu estado pleno, cujo c\u00f3digo-fonte aberto era temperado com aditivos maliciosos.<\/p>\n

Assim, o FlyGram aprendeu a roubar contatos, hist\u00f3rico de chamadas, uma lista de contas do Google e outras informa\u00e7\u00f5es do smartphone da v\u00edtima, bem como fazer \u201cc\u00f3pias de backup\u201d da correspond\u00eancia a ser armazenada\u2026 onde mais sen\u00e3o no servidor dos invasores? No entanto, esta \u201cop\u00e7\u00e3o\u201d teve que ser ativada no aplicativo de mensagens pelo pr\u00f3prio usu\u00e1rio.<\/p>\n

No caso do Signal Plus, a abordagem foi um pouco diferente. O malware extraiu uma certa quantidade de informa\u00e7\u00f5es do smartphone da v\u00edtima diretamente e permitiu que os invasores fizessem login na conta do Signal da v\u00edtima a partir de seus pr\u00f3prios dispositivos sem serem notados, ap\u00f3s o qual eles podiam ler toda a correspond\u00eancia quase em tempo real.<\/p>\n

O FlyGram apareceu no Google Play em julho de 2020 e permaneceu l\u00e1 at\u00e9 janeiro de 2021, enquanto o Signal Plus foi publicado nas lojas de aplicativos em julho de 2022 e removido do Google Play somente em maio de 2023. Na Samsung Galaxy Store, segundo a BleepingComputer<\/a>, ambos os aplicativos ainda estavam dispon\u00edveis no final de agosto de 2023. Mesmo que eles tenham desaparecido completamente dessas lojas, quantos usu\u00e1rios desavisados continuam a usar esses mods de mensagens \u201cr\u00e1pidos e f\u00e1ceis\u201d que exp\u00f5em todas as suas mensagens a bisbilhoteiros?<\/p>\n

Endere\u00e7os de carteira criptogr\u00e1fica falsos do WhatsApp e do Telegram infectados<\/h2>\n

E apenas alguns meses atr\u00e1s, os mesmos pesquisadores de seguran\u00e7a descobriram<\/a> uma s\u00e9rie de vers\u00f5es \u201ctrojanizadas\u201d do WhatsApp e do Telegram destinadas principalmente ao roubo de criptomoedas. Elas funcionam falsificando os endere\u00e7os da carteira criptogr\u00e1fica nas mensagens para interceptar as transfer\u00eancias recebidas.<\/p>\n

\"WhatsApp<\/a>

Uma vers\u00e3o infectada do WhatsApp (\u00e0 esquerda) falsifica o endere\u00e7o da carteira criptogr\u00e1fica em uma mensagem para o destinat\u00e1rio, o qual tem a vers\u00e3o oficial e n\u00e3o infectada do WhatsApp (\u00e0 direita). (Fonte<\/a>)<\/p><\/div>\n

Al\u00e9m disso, algumas das vers\u00f5es encontradas usam o reconhecimento de imagem para pesquisar capturas de tela armazenadas na mem\u00f3ria do smartphone em busca de frases iniciais\u00a0 uma s\u00e9rie de palavras de c\u00f3digo que podem ser usadas para obter controle total sobre uma carteira criptogr\u00e1fica<\/a> e depois esvazi\u00e1-la.<\/p>\n

E alguns dos aplicativos falsos do Telegram roubaram informa\u00e7\u00f5es de perfil do usu\u00e1rio armazenadas na nuvem do Telegram: arquivos de configura\u00e7\u00e3o, n\u00fameros de telefone, contatos, mensagens, arquivos enviados\/recebidos e assim por diante. Basicamente, eles roubaram todos os dados do usu\u00e1rio, exceto os bate-papos secretos<\/a> criados em outros dispositivos. Todos esses aplicativos foram distribu\u00eddos n\u00e3o no Google Play, mas por meio de v\u00e1rios sites falsos e canais do YouTube.<\/p>\n

Como se manter protegido<\/h2>\n

Por fim, algumas dicas sobre como se proteger de vers\u00f5es infectadas de aplicativos de mensagens populares, bem como de outras amea\u00e7as direcionadas aos usu\u00e1rios do Android:<\/p>\n