Mensageiros de spyware no Google Play

Pesquisadores encontraram várias versões do Telegram e do Signal infectadas por spyware no Google Play.

Para aplicativos de mensagens populares, como Telegram, Signal e WhatsApp, existem alguns clientes (não deve ser confundido com clientes como em “clientes humanos”) alternativos; quem optou por essa linguagem confusa precisa ser estudado. Esses aplicativos modificados, conhecidos como mods, geralmente fornecem aos usuários recursos e capacidades que não estão disponíveis nos clientes oficiais.

Embora o WhatsApp desaprove os mods, banindo-os periodicamente das lojas oficiais de aplicativos, o Telegram nunca travou uma guerra contra clientes alternativos; ele incentiva ativamente a criação deles, então estão chovendo mods do Telegram. Mas eles são seguros?

Infelizmente, vários estudos recentes mostram que os mods de aplicativos de mensagens devem ser usados com muita cautela. Embora a maioria dos usuários ainda confie cegamente em qualquer aplicativo que tenha sido verificado e publicado no Google Play, destacamos repetidamente os perigos: ao baixar um aplicativo no Google Play, você também pode pegar um Cavalo de Troia (que teve mais de 100 milhões de downloads), um backdoor, um assinante malicioso e/ou muitos outros arquivos.

Notícia nova: Telegram infectado em chinês e uigur no Google Play

Começaremos com uma história recente. Nossos especialistas descobriram vários aplicativos infectados no Google Play sob o disfarce das versões em uigur, chinês simplificado e chinês tradicional do Telegram. As descrições do aplicativo são escritas nos respectivos idiomas e contêm imagens muito semelhantes às da página oficial do Telegram no Google Play.

Para persuadir os usuários a baixar esses mods em vez do aplicativo oficial, o desenvolvedor afirma que eles trabalham mais rápido do que outros clientes, graças a uma rede distribuída de data centers em todo o mundo.

Versões de spyware do Telegram no Google Play

Versões em chinês simplificado, chinês tradicional e uigur do Telegram no Google Play com spyware

À primeira vista, esses aplicativos parecem ser clones completos do Telegram com uma interface localizada. Tudo parece e funciona quase da mesma maneira que o aplicativo real.

Demos uma olhada no código e descobrimos que os aplicativos são pouco mais do que versões ligeiramente modificadas do oficial. Dito isto, há uma pequena diferença que escapou da atenção dos moderadores do Google Play: as versões infectadas abrigam um módulo adicional. Ele monitora constantemente o que está acontecendo no aplicativo de mensagens e envia massas de dados para o servidor de comando e controle dos criadores do spyware: todos os contatos, mensagens enviadas e recebidas com arquivos anexados, nomes de bate-papos/canais, nome e número de telefone do proprietário da conta — basicamente toda a correspondência do usuário. Mesmo que um usuário altere seu nome ou número de telefone, essas informações também são enviadas aos invasores.

Anteriormente: versões de spyware do Telegram e do Signal no Google Play

Curiosamente, há pouco tempo, pesquisadores da ESET encontraram outra versão de spyware do Telegram — FlyGram. Este nem tentou fingir ser oficial. Em vez disso, ele se posicionou como um cliente alternativo do Telegram (ou seja, apenas um mod) e conseguiu entrar não apenas no Google Play, mas também na Samsung Galaxy Store.

O mais curioso é que seus criadores não se limitaram a imitar apenas o Telegram. Eles também publicaram uma versão infectada do Signal nessas mesmas lojas, chamando-a de Signal Plus Messenger. E para aumentar a credibilidade, eles chegaram ao ponto de criar os sites flygram[.]org e signalplus[.]org para seus aplicativos falsos.

Signal Plus Messenger: uma versão de spyware do Signal no Google Play e na Samsung Galaxy Store

Também há um cliente de spyware no Google Play para Signal, chamado Signal Plus Messenger. (Fonte)

Esses aplicativos equivaliam ao Telegram/Signal em seu estado pleno, cujo código-fonte aberto era temperado com aditivos maliciosos.

Assim, o FlyGram aprendeu a roubar contatos, histórico de chamadas, uma lista de contas do Google e outras informações do smartphone da vítima, bem como fazer “cópias de backup” da correspondência a ser armazenada… onde mais senão no servidor dos invasores? No entanto, esta “opção” teve que ser ativada no aplicativo de mensagens pelo próprio usuário.

No caso do Signal Plus, a abordagem foi um pouco diferente. O malware extraiu uma certa quantidade de informações do smartphone da vítima diretamente e permitiu que os invasores fizessem login na conta do Signal da vítima a partir de seus próprios dispositivos sem serem notados, após o qual eles podiam ler toda a correspondência quase em tempo real.

O FlyGram apareceu no Google Play em julho de 2020 e permaneceu lá até janeiro de 2021, enquanto o Signal Plus foi publicado nas lojas de aplicativos em julho de 2022 e removido do Google Play somente em maio de 2023. Na Samsung Galaxy Store, segundo a BleepingComputer, ambos os aplicativos ainda estavam disponíveis no final de agosto de 2023. Mesmo que eles tenham desaparecido completamente dessas lojas, quantos usuários desavisados continuam a usar esses mods de mensagens “rápidos e fáceis” que expõem todas as suas mensagens a bisbilhoteiros?

Endereços de carteira criptográfica falsos do WhatsApp e do Telegram infectados

E apenas alguns meses atrás, os mesmos pesquisadores de segurança descobriram uma série de versões “trojanizadas” do WhatsApp e do Telegram destinadas principalmente ao roubo de criptomoedas. Elas funcionam falsificando os endereços da carteira criptográfica nas mensagens para interceptar as transferências recebidas.

WhatsApp infectado falsifica o endereço da carteira de criptomoedas nas mensagens

Uma versão infectada do WhatsApp (à esquerda) falsifica o endereço da carteira criptográfica em uma mensagem para o destinatário, o qual tem a versão oficial e não infectada do WhatsApp (à direita). (Fonte)

Além disso, algumas das versões encontradas usam o reconhecimento de imagem para pesquisar capturas de tela armazenadas na memória do smartphone em busca de frases iniciais  uma série de palavras de código que podem ser usadas para obter controle total sobre uma carteira criptográfica e depois esvaziá-la.

E alguns dos aplicativos falsos do Telegram roubaram informações de perfil do usuário armazenadas na nuvem do Telegram: arquivos de configuração, números de telefone, contatos, mensagens, arquivos enviados/recebidos e assim por diante. Basicamente, eles roubaram todos os dados do usuário, exceto os bate-papos secretos criados em outros dispositivos. Todos esses aplicativos foram distribuídos não no Google Play, mas por meio de vários sites falsos e canais do YouTube.

Como se manter protegido

Por fim, algumas dicas sobre como se proteger de versões infectadas de aplicativos de mensagens populares, bem como de outras ameaças direcionadas aos usuários do Android:

  • Como vimos, até mesmo o Google Play não é imune a malware. Dito isto, as lojas oficiais ainda são muito mais seguras do que outras fontes. Portanto, sempre use-as para baixar e instalar aplicativos.
  • Como esta publicação deixou claro, clientes alternativos para aplicativos de mensagens populares devem ser tratados com extrema cautela. O código aberto permite que qualquer pessoa crie mods e os preencha com todo tipo de surpresas desagradáveis.
  • Antes de instalar até mesmo o aplicativo mais oficial da loja mais oficial, olhe atentamente para sua página e certifique-se de que é real — preste atenção não apenas no nome, mas também no desenvolvedor. Os criminosos cibernéticos muitas vezes tentam enganar os usuários criando clones de aplicativos com descrições semelhantes às do original.
  • É uma boa ideia ler avaliações negativas de usuários — se houver um problema com um aplicativo, provavelmente alguém já o notou e escreveu sobre ele.
  • Instale uma proteção confiável em todos os seus dispositivos Android que o avisará se um malware tentar se infiltrar.
  • Se você usar a versão gratuita do Kaspersky: Antivirus & VPN, lembre-se de verificar manualmente seu dispositivo após a instalação e antes de executar qualquer aplicativo pela primeira vez.
  • A verificação de ameaças é feita automaticamente na versão completa de nossa solução de segurança para Android, que está incluída nos planos de assinatura Kaspersky Standard, Kaspersky Plus e Kaspersky Premium.

[banner Kaspersky Premium]

Dicas