近日，谷歌應(yīng)用商店中出現(xiàn)了偽裝成Telegram修訂版的間諜軟件，該軟件可入侵安卓設(shè)備并獲取敏感信息。

卡巴斯基安全研究員Igor Golovin表示，這種惡意軟件不僅可以竊取用戶的姓名、ID、聯(lián)系人、電話號(hào)碼和聊天信息，還能將這些信息傳輸至惡意行為者的服務(wù)器上。

俄羅斯網(wǎng)絡(luò)安全公司將這種活動(dòng)命名為 Evil Telegram。

這些軟件在被谷歌商店下架前，已經(jīng)被下載了數(shù)百萬次。詳細(xì)信息如下：

• 電報(bào),紙飛機(jī)-TG繁體中文版 or 電報(bào),小飛機(jī)-TG繁體中文版 (org.telegram.messenger.wab) - 10 million+ downloads
• TG繁體中文版-電報(bào),紙飛機(jī) (org.telegram.messenger.wab) - 50,000+ downloads
• 電報(bào),紙飛機(jī)-TG簡(jiǎn)體中文版 (org.telegram.messenger.wob) - 50,000+ downloads
• 電報(bào),紙飛機(jī)-TG簡(jiǎn)體中文版 (org.tgcn.messenger.wob) - 10,000+ downloads
• ?????? ???? TG - ?????????? (org.telegram.messenger.wcb) - 100+ downloads

值得注意的是，與 Play Store 版 Telegram 相關(guān)的軟件包名稱是 "org.telegram.messenger"，而直接從 Telegram 網(wǎng)站下載的 APK 文件的軟件包名稱是 "org.telegram.messenger.web"。

惡意軟件包名稱中使用的"wab"、"wcb "和 "wob "更加表明了威脅行為者是通過這樣的錯(cuò)別字搶注技術(shù)來冒充真正的Telegram應(yīng)用程序，以達(dá)到掩人耳目的目的。

乍一看，這些應(yīng)用程序似乎是帶有完整的本地化界面的Telegram克隆版。這個(gè)克隆版軟件從外觀界面、甚至操作運(yùn)行起來都與真品幾乎一樣。僅有一個(gè)非常小的區(qū)別，就是受感染的版本包含一個(gè)額外的模塊，因此沒有引起 Google Play 管理員的注意。

ESET 在幾天前披露了針對(duì)官方應(yīng)用程序市場(chǎng)的BadBazaar惡意軟件活動(dòng)，該活動(dòng)利用惡意版 Telegram 收集聊天備份。

斯洛伐克網(wǎng)絡(luò)安全公司在2023年3月也曾發(fā)現(xiàn)過類似的山寨 Telegram 和 WhatsApp 應(yīng)用程序，這些應(yīng)用程序帶有剪切功能，可以攔截和修改聊天信息中的錢包地址，并將加密貨幣轉(zhuǎn)賬重定向到攻擊者的錢包。