A equipe de pesquisas Check Point Mobile Research descobriu recentemente uma versão modificada do aplicativo Telegram Messenger para Android. O aplicativo malicioso foi detectado e bloqueado pela solução Check Point Harmony Mobile. Apesar de parecer inocente, esta versão modificada é incorporada com código malicioso vinculado ao trojan Triada. Este cavalo de Troia, o Triada, que foi detectado pela primeira vez em 2016, é um backdoor modular para Android que concede privilégios de administrador para baixar outro malware.
Versões modificadas de aplicativos móveis são muito comuns no mundo móvel. Esses aplicativos podem oferecer recursos e personalizações extras, preços reduzidos ou estar disponíveis em uma variedade maior de países em comparação com o aplicativo original. Sua oferta pode ser atraente o suficiente para atrair usuários ingênuos a instalá-los por meio de lojas de aplicativos externos não oficiais.
O risco de instalar versões modificadas vem do fato de que é impossível para o usuário saber quais alterações foram realmente feitas no código do aplicativo, ou seja, não se sabe qual código foi adicionado e se ele tem alguma intenção maliciosa.
O disfarce perfeito
O malware se disfarça como Telegram Messenger versão 9.2.1. Ele tem o mesmo nome de pacote (org[.]telegram[.]messenger) e o mesmo ícone do aplicativo Telegram original. Ao ser acionado, o usuário é apresentado à tela de autenticação do Telegram em que é solicitado inserir o número de telefone do dispositivo e a conceder permissões de telefone ao aplicativo.
Esse fluxo parece o processo de autenticação real do aplicativo Telegram Messenger original. O usuário não tem motivos para suspeitar que algo fora do comum esteja acontecendo no dispositivo.
Por trás das cenas
A análise estática dos aplicativos mostra que, ao iniciar o aplicativo, um código de malware é executado em segundo plano, disfarçado como um serviço interno de atualização de aplicativos.
O malware coleta informações do dispositivo, configura um canal de comunicação, baixa um arquivo de configuração e aguarda para receber a carga útil (payload) do servidor remoto.
Uma vez que a carga é descriptografada e iniciada, o Triada ganha privilégios de sistema, os quais permitem que ele se injete em outros processos e execute muitas ações maliciosas.
Pesquisas anteriores realizadas nas cargas úteis do Triada apresentaram as diversas habilidades maliciosas deste malware. Isso inclui inscrever o usuário em várias assinaturas pagas, realizar compras no aplicativo usando o SMS e o número de telefone do usuário, exibir anúncios (incluindo anúncios invisíveis executados em segundo plano) e roubar credenciais e dados de login e outras informações do usuário e do dispositivo.
Como proteger o dispositivo contra malwares
– Sempre baixe seus aplicativos de fontes confiáveis, sejam sites oficiais ou lojas e repositórios oficiais de aplicativos.
– Verifique quem é o autor e criador do aplicativo antes de fazer o download. Você pode ler comentários e reações de usuários anteriores antes de fazer o download.
– Atenção às permissões solicitadas pelo aplicativo instalado e se elas são realmente necessárias para a funcionalidade do aplicativo real.
