Ключови изводи
- Нарастването на нерегулираните модификации на приложения за Signal и Telegram привлече киберпрестъпници, които разпространяват злонамерен софтуер и шпионират нищо неподозиращи потребители.
- Някои заразени с шпионски софтуер фалшиви модове на Telegram са разкрили личните данни на потребителите, докато фалшивите модове на Signal позволяват на хакерите да влизат в акаунтите на жертвите в Signal.
- Не забравяйте да проучите разработчиците, да проверите оценките и отзивите, да избягвате магазини за приложения на трети страни, да прегледате разрешенията за приложения и да използвате софтуер за сигурност, за да се предпазите от фалшиви приложения на Signal и Telegram.
Signal и Telegram са две от най-популярните приложения за защитени съобщения в света; те се ангажират да защитават поверителността на потребителите, лесни са за използване и са пълни със страхотни функции.
Но хората винаги искат повече от своите приложения. Нарастването на нерегулираните модификации на приложенията Signal и Telegram с повече функции привлече приличен брой потребители, които киберпрестъпниците използват, за да доставят злонамерен софтуер и др.
Какво представляват модовете на приложенията?
Модификациите на приложението не са зловеща идея по своята същност. Софтуерът обикновено се модифицира от технологични ентусиасти, разработчици на трети страни и фенове. Или по-скоро от хора, които вярват, че основната версия на приложението или няма определени функционалности, или има ненужни функции, които пречат на работата му.
Някои софтуерни компании не харесват концепцията и правят всичко възможно да премахнат модифицираните версии на своите продукти. Други обаче не се противопоставят на това и насърчават разработчиците да измислят свои собствени клиенти или модифицирани версии на същото приложение.
Как работи шпионският софтуер в Telegram и клонингите на Signal?
Ето къде става зловещо: киберпрестъпниците разбраха, че има пазар за модификации на приложения и го използват за разпространение на зловреден софтуер. Точно това се случва с определени клонинги на Telegram, както беше открито от фирмата за киберсигурност Kaspersky, която публикува откритията си през септември 2023 г. < a i=3>ESET междувременно установи през август 2023 г., че участниците в заплахите също създават фалшиви модове на Signal, за да шпионират нищо неподозиращи потребители.
Фалшивите модификации на Telegram се появиха в Google Play като версии на приложението на традиционен китайски, уйгурски и опростен китайски. Злонамереният разработчик положи истински усилия да изглежда убедително, използвайки изображения, подобни на тези, които Telegram използва в официалните си канали, докато описанията на приложенията бяха написани на гореспоменатите езици. Модът беше рекламиран като по-бърза и по-лека версия на Telegram.
Накратко, това изглеждаше като напълно легитимен мод, подобен на модовете, които самата Telegram одобрява и насърчава разработчиците да създават. Но имаше значителна разлика: фалшивото приложение Telegram имаше коренно различен код, което позволяваше на създателите му да шпионират всеки, който го изтегли и използва. Тези, които са направили грешката да инсталират този мод, са разкрили своите контакти, съобщения, файлове, имена и телефонни номера. Цялата тази информация беше изпратена до заплахата, докато хората използваха приложението.
Със Signal актьорът на заплахата имаше малко по-различен подход. Те създадоха мод, наречен Signal Plus Messenger, и създадоха фалшив уебсайт, за да изглежда по-легитимен. Зловреден софтуер, открит във фалшивия мод на Signal, може би е по-опасен, отколкото във фалшивото приложение Telegram, тъй като позволява на създателите му да влязат в профила на Signal на мишената.
И двата мода могат да бъдат класифицирани като шпионски софтуер, вид зловреден софтуер, предназначен да събира информация за целта без тяхното знание или съгласие.
ESET и Kaspersky вярват, че една и съща хакерска група, GREF, стои зад двата мода, заедно с няколко други злонамерени приложения. Съобщава се, че групата има връзки с китайското правителство и обикновено разпространява зловреден код, който е идентифициран като BadBazaar.
Защо тези приложения за Telegram и Signal включват шпионски софтуер?
Защо разпространяват тези злонамерени модификации? Според доклада на ESET една от основните причини е шпионирането на етнически малцинства в Китай.
Фалшивите приложения по-късно бяха премахнати от Google Play Store и Samsung Galaxy Store, но щетите вече бяха нанесени. Може да се предположи, че те са били изтеглени от хиляди хора (по целия свят, не само в Китай), чиито лични данни са били разкрити и вероятно в ръцете на китайското правителство.
Разбира се, има и други измамници, които разпространяват модове, управлявани от шпионски софтуер, повечето от които са финансово мотивирани. Истинският въпрос е как изобщо тези злонамерени приложения са се появили в два големи, уважавани магазина за приложения? Тези магазини нямат ли модератори, чиято работа е да идентифицират зловреден код?
Докладът на Google за юлските тенденции [PDF] предлага обяснение, заявявайки, че неговите изследователи са открили заплахи, които заобикалят контролите за сигурност чрез създаване на версии. Това означава, че те първоначално създават напълно легитимни модификации и след това инжектират зловреден софтуер чрез актуализация. Очевидно всички актуализации също трябва да бъдат анализирани от Google преди одобрение, но компанията очевидно се бори да освободи своя магазин за приложения от зловреден софтуер.
Как да се предпазите от приложения за фалшив сигнал и Telegram
Това, че тези конкретни модове на Signal и Telegram вече не са налични в Google Play Store и Samsung Galaxy Store, не означава много, тъй като е повече от вероятно да се появят отново под някаква форма. Дори и да не го направят, други фалшиви модификации ще заемат тяхното място.
За да сте в безопасност, трябва да знаете как да правите разлика между истински и фалшиви приложения, легитимни модификации и такива, които съдържат зловреден софтуер.
1. Проучете разработчика
Преди да изтеглите модифицирано приложение, направете проучване за хората зад него. Законни ли са? Кои са те? Дейностите им одобрени ли са от първоначалния разработчик?
2. Проверете оценките и отзивите
Винаги е добра идея да проверявате какво казват другите хора и да разглеждате оценките и отзивите. Това не е бронирана стратегия, но все пак може да ви помогне да определите дали модът, който искате да изтеглите, е безопасен.
3. Избягвайте магазини за приложения на трети страни
Като общо правило не трябва да изтегляте софтуер от магазини за приложения на трети страни или произволни уебсайтове. Google Play Store може да има проблеми, но също така разполага с определени защити и е много по-безопасна опция. Имайки предвид това, има няколко уважавани сайта за безопасни изтегляния на APK.
4. Прегледайте разрешенията на приложението
Приложения като Signal и Telegram се въртят около поверителността и никога няма да искат необичайни разрешения. Възможно е обаче злонамерено модифицирано приложение. За да проверите дали подозрително приложение иска необичайни разрешения, отворете Настройки > Приложения, намерете въпросното приложение и го докоснете. Друга възможност е да натиснете продължително приложението на началния екран и да изберете Информация за приложението > Разрешения. Поради разликите в начина, по който Android работи на различните устройства, имената на менютата и процесите може леко да се различават, но процесът ще бъде подобен.
5. Използвайте софтуер за сигурност
Дори да направите грешката да изтеглите модифициране на приложение, заразено с шпиониращ софтуер, софтуерът за сигурност може да е в състояние да ви защити. Има няколко безплатни антивирусни приложения за Android, които ще свършат работата.
Бъдете внимателни с модифицираните приложения
Модифицираните приложения позволяват на потребителите да изпитат софтуера по нов начин, но те също могат да представляват риск за сигурността. Това не означава, че трябва изцяло да избягвате модифицирани версии на популярни приложения, но трябва да вземете допълнителни предпазни мерки.
Signal и Telegram са с мили пред другите приложения за съобщения по отношение на сигурността и поверителността. За обикновения човек те са достатъчно добри такива, каквито са.