Ключові висновки
- Зростання нерегульованих модифікацій додатків для Signal і Telegram приваблює кіберзлочинців, які поширюють шкідливе програмне забезпечення та шпигують за нічого не підозрюючими користувачами.
- Деякі підроблені модифікації Telegram, заражені шпигунським програмним забезпеченням, розкрили особисті дані користувачів, а фейкові модифікації Signal дозволили хакерам увійти в облікові записи Signal жертв.
- Обов’язково досліджуйте розробників, перевіряйте рейтинги та відгуки, уникайте сторонніх магазинів додатків, переглядайте дозволи додатків і використовуйте програмне забезпечення безпеки, щоб захиститися від підроблених додатків Signal і Telegram.
Signal і Telegram є двома найпопулярнішими у світі безпечними додатками для обміну повідомленнями; вони спрямовані на захист конфіденційності користувачів, прості у використанні та містять цікаві функції.
Але люди завжди хочуть більше від своїх програм. Зростання кількості нерегульованих модів додатків Signal і Telegram із більшими функціями захопило пристойну кількість користувачів, яких кіберзлочинці використовують для доставки зловмисного програмного забезпечення тощо.
Що таке моди додатків?
Модифікації додатків не є зловісною ідеєю. Програмне забезпечення зазвичай змінюють ентузіасти технологій, сторонні розробники та фанати. Або, точніше, людьми, які вважають, що базовій версії програми або бракує певних функцій, або вона має непотрібні функції, які перешкоджають її продуктивності.
Деяким компаніям, що займаються програмним забезпеченням, не подобається ця концепція, і вони роблять усе можливе, щоб розправитися з модифікованими версіями своїх продуктів. Однак інші не проти і заохочують розробників створювати власні клієнти або модифіковані версії того ж додатка.
Як працює шпигунське програмне забезпечення в Telegram і клонах Signal?
Ось де все стає зловісним: кіберзлочинці зрозуміли, що існує ринок модифікацій додатків, і використовують це для розповсюдження шкідливого програмного забезпечення. Саме це відбувається з певними клонами Telegram, як виявила компанія з кібербезпеки Kasperskyяка опублікувала свої висновки у вересні 2023 року. ESETтим часом, у серпні 2023 року виявили, що зловмисники також створюють підроблені модифікації Signal, щоб стежити за користувачами, які нічого не підозрюють.
Фальшиві модифікації Telegram з’явилися в Google Play як версії програми традиційною китайською, уйгурською та спрощеною китайською. Розробник-зловмисник дуже старався виглядати переконливо, використовуючи зображення, схожі на ті, які використовує Telegram на своїх офіційних каналах, а описи додатків були написані вищезазначеними мовами. Мод рекламувався як швидша та полегшена версія Telegram.
Коротше кажучи, це здавалося цілком законним модом, подібним до модів, які сама Telegram підтримує та заохочує розробників створювати. Але була суттєва відмінність: фейковий додаток Telegram мав кардинально інший код, що дозволяло його творцям стежити за будь-ким, хто його завантажує та використовує. Ті, хто зробив помилку, встановивши цей мод, розкрили свої контакти, повідомлення, файли, імена та номери телефонів. Уся ця інформація надсилалася зловмиснику, коли люди використовували додаток.
Автор зображення: Kaspersky
Щодо Signal актор-загрозник мав дещо інший підхід. Вони розробили мод під назвою Signal Plus Messenger і створили підроблений веб-сайт, щоб виглядати легітимніше. Зловмисне програмне забезпечення, знайдене у підробленому модифікаторі Signal, було, мабуть, більш небезпечним, ніж у підробленому додатку Telegram, оскільки дозволяло його творцям увійти в обліковий запис цілі Signal.
Обидва моди можуть бути класифіковані як шпигунське програмне забезпечення, тип шкідливого програмного забезпечення, призначеного для збору інформації про ціль без її відома чи згоди.
ESET і Kaspersky вважають, що за обома модами, а також кількома іншими шкідливими програмами, стоїть та сама хакерська група GREF. Повідомляється, що група пов’язана з китайським урядом і зазвичай розповсюджує шкідливий код, ідентифікований як BadBazaar.
Чому ці програми Telegram і Signal містять шпигунське програмне забезпечення?
Чому вони поширюють ці шкідливі моди? Згідно зі звітом ESET, однією з головних причин є шпигування за етнічними меншинами в Китаї.
Пізніше підроблені програми були видалені з Google Play Store і Samsung Galaxy Store, але шкоди вже було завдано. Можна з упевненістю припустити, що їх завантажили тисячі людей (у всьому світі, а не лише в Китаї), чиї особисті дані були розкриті та, ймовірно, опинилися в руках китайського уряду.
Правда, є й інші шахраї, які розповсюджують модифікації, керовані шпигунським програмним забезпеченням, переважно з фінансових мотивів. Справжнє запитання полягає в тому, як ці шкідливі програми взагалі з’явилися у двох великих авторитетних магазинах програм? Хіба в цих магазинах немає модераторів, завданням яких є виявлення шкідливого коду?
Звіт Google про тенденції липня [PDF] запропонував пояснення, заявивши, що його дослідники виявили загрозливі суб’єкти, які обходять контроль безпеки через версії. Це означає, що вони спочатку створюють цілком легітимні модифікації, а потім впроваджують зловмисне програмне забезпечення через оновлення. Очевидно, що всі оновлення також повинні бути проаналізовані Google перед схваленням, але компанія, очевидно, намагається позбавити свій магазин додатків від шкідливого програмного забезпечення.
Як захиститися від програм Fake Signal і Telegram
Те, що ці конкретні модифікації Signal і Telegram більше не доступні в Google Play Store і Samsung Galaxy Store, не має великого значення, оскільки більш ніж імовірно, що вони знову з’являться в тій чи іншій формі. Навіть якщо ні, їх місце займуть інші підроблені моди.
Щоб бути в безпеці, вам потрібно знати, як відрізнити справжні та підроблені програми, законні модифікації та ті, що містять зловмисне програмне забезпечення.
1. Дослідіть розробника
Перш ніж завантажувати модифіковану програму, проведіть деяке дослідження про людей, які стоять за нею. Чи законні вони? Хто вони? Чи схвалює їх діяльність оригінальний розробник?
2. Перевірте рейтинги та відгуки
Завжди корисно перевіряти, що говорять інші люди, і переглядати оцінки та відгуки. Це не куленепробивна стратегія, але вона може допомогти вам визначити, чи безпечний мод, який ви хочете завантажити.
3. Уникайте сторонніх магазинів додатків
Як правило, ви не повинні завантажувати програмне забезпечення зі сторонніх магазинів додатків або випадкових веб-сайтів. У магазині Google Play можуть виникати проблеми, але він також має певний захист і є набагато безпечнішим варіантом. З огляду на це, існує кілька авторитетних сайтів для безпечного завантаження APK.
4. Перегляньте дозволи програми
Такі програми, як Signal і Telegram, орієнтуються на конфіденційність, і вони ніколи не запитуватимуть незвичайні дозволи. Однак шкідлива модифікована програма може. Щоб перевірити, чи підозріла програма просить незвичайні дозволи, перейдіть до Налаштування > Програми, знайдіть відповідну програму та торкніться її. Або натисніть і утримуйте програму на головному екрані та виберіть «Інформація про програму» > «Дозволи». Через відмінності в роботі Android на різних пристроях назви меню та процеси можуть дещо відрізнятися, але процес буде схожим.
5. Використовуйте програмне забезпечення безпеки
Навіть якщо ви зробили помилку, завантаживши інфікований шпигунським програмним забезпеченням мод програми, програмне забезпечення безпеки може захистити вас. Є кілька безкоштовних антивірусних програм для Android, які впораються зі своєю роботою.
Будьте обережні з модифікованими програмами
Модифіковані програми дозволяють користувачам використовувати програмне забезпечення по-новому, але вони також можуть становити загрозу безпеці. Це не означає, що ви повинні повністю уникати модифікованих версій популярних програм, але ви повинні вжити додаткових заходів обережності.
Signal і Telegram випереджають інші додатки для обміну повідомленнями щодо безпеки та конфіденційності. Для звичайної людини вони досить хороші й самі по собі.