Versiones de software espía de Telegram y Signal en Google Play

Investigadores han encontrado varias versiones de Telegram y Signal infectadas con software espía en Google Play.

versiones de Telegram y Signal infectadas con software espía en Google Play

Para los servicios de mensajería populares como Telegram, Signal y WhatsApp, existen bastantes clientes alternativos (que no deben confundirse con los clientes como los compradores (humanos); el inventor de esta palabra confusa necesita una buena charla). Estas aplicaciones modificadas, conocidas como mods, a menudo proporcionan a los usuarios funciones y capacidades que no están disponibles en los clientes oficiales.

Si bien WhatsApp desaprueba las modificaciones y las prohíbe periódicamente en las tiendas oficiales de aplicaciones, no solo Telegram nunca ha hecho la guerra a los clientes alternativos, sino que también alienta activamente su creación, por lo que las modificaciones de Telegram están apareciendo como setas. Pero ¿son seguras?

Por desgracia, varios estudios recientes demuestran que las modificaciones de mensajería deben manejarse con gran precaución. Aunque la mayoría de los usuarios todavía confían ciegamente en cualquier aplicación que se haya verificado y publicado en Google Play, hemos destacado repetidamente sus peligros: al descargar una aplicación en Google Play, también puedes aceptar un troyano (¡hubo uno que tuvo más de 100 millones de descargas!), una puerta trasera, un suscriptor malicioso y/o un montón de cosas más.

*Suscríbete a nuestro canal de Telegram para ser de las primeras personas en conocer las nuevas amenazas.

Esto acaba de empezar: Telegram en chino y uygur infectado en Google Play

Empezaremos con una historia reciente. Nuestros expertos descubrieron varias aplicaciones infectadas en Google Play bajo la apariencia de versiones de Telegram en uigur, chino simplificado y chino tradicional. Las descripciones de la aplicación están escritas en los respectivos idiomas y contienen imágenes muy similares a las de la página oficial de Telegram en Google Play.

Para persuadir a los usuarios de que descarguen estos mods en lugar de la aplicación oficial, el desarrollador afirma que funcionan más rápido que otros clientes gracias a una red distribuida de centros de datos en todo el mundo.

Versiones de software espía de Telegram en Google Play 

Versiones en chino simplificado, chino tradicional y uigur de Telegram en Google Play con software espía en el interior.

A primera vista, estas aplicaciones parecen ser clones de Telegram en toda regla, con una interfaz localizada. Todo se ve y funciona casi igual que la aplicación real.

Echamos un vistazo dentro del código y descubrimos que las aplicaciones eran poco más que versiones ligeramente modificadas de la oficial. Dicho esto, hay una pequeña diferencia que se escapó a la atención de los moderadores de Google Play: las versiones infectadas albergan un módulo adicional.

Este módulo supervisa constantemente lo que sucede en el servicio de mensajería y envía una gran cantidad de datos al servidor central de los creadores de software espía: todos los contactos, mensajes enviados y recibidos con archivos adjuntos, nombres de chats/canales, nombre y número de teléfono del propietario de la cuenta: básicamente, toda la correspondencia del usuario. Incluso si un usuario cambia su nombre o número de teléfono, esta información también se envía a los atacantes.

Anteriormente: versiones de software espía de Telegram y Signal en Google Play

Curiosamente, hace poco tiempo, los investigadores encontraron otra versión de software espía de Telegram: FlyGram. Es cierto que este ni siquiera trataba de fingir ser oficial. En cambio, se posicionaba como un cliente alternativo de Telegram (es decir, solo un mod), y se había abierto camino no solo en Google Play, sino también en Samsung Galaxy Store.

Lo que es aún más curioso es que sus creadores no se limitaban a imitar solo a Telegram. También publicaron una versión infectada de Signal en estas mismas tiendas, llamada Signal Plus Messenger. Y para mayor credibilidad, incluso llegaron a crear los sitios web flygram[.]org y signalplus[.]org para sus aplicaciones falsas.

Signal Plus Messenger: una versión de software espía de Signal en Google Play y en Samsung Galaxy Store

También existe un cliente de software espía en Google Play para Signal, llamado Signal Plus Messenger. Fuente.

Por dentro, estas aplicaciones equivalían a los servicios de mensajería de Telegram/Signal en toda regla, cuyo código fuente abierto estaba aromatizado con aditivos maliciosos.

De esta forma, FlyGram aprendió a robar contactos, historial de llamadas, una lista de cuentas de Google y otra información del teléfono inteligente de la víctima, así como a hacer “copias de seguridad” de la correspondencia para almacenarla… en el servidor de los atacantes (aunque esta “opción” tenía que ser activada en el servicio de mensajería modificado de forma independiente por el usuario).

En el caso de Signal Plus, el enfoque era algo diferente. El malware robaba una cierta cantidad de información del teléfono inteligente de la víctima directamente y permitía a los atacantes iniciar sesión en la cuenta de Signal de la víctima desde sus propios dispositivos sin que los descubrieran, después de lo cual podían leer toda la correspondencia casi en tiempo real.

FlyGram apareció en Google Play en julio de 2020 y permaneció allí hasta enero de 2021, mientras que Signal Plus se publicó en las tiendas de aplicaciones en julio de 2022 y no se eliminó de Google Play hasta mayo de 2023. En la Samsung Galaxy Store, según BleepingComputer, ambas aplicaciones aún estaban disponibles a finales de agosto de 2023.

Aunque ya hayan desaparecido por completo de estas tiendas, ¿cuántos usuarios desprevenidos continúan usando estas modificaciones de mensajería “rápidas y fáciles” que exponen todos sus mensajes a miradas indiscretas?

 WhatsApp y Telegram infectados falsifican direcciones de wallets de criptomonedas

Y hace solo unos meses, los mismos investigadores de seguridad descubrieron una gran cantidad de versiones troyanizadas de WhatsApp y Telegram destinadas principalmente al robo de criptomonedas. Funcionan falsificando las direcciones de los wallets en los mensajes para interceptar las transferencias entrantes.

WhatsApp infectado falsifica la dirección de criptomonedas en los mensajes

Una versión infectada de WhatsApp (izquierda) falsifica la dirección del wallet en un mensaje para el destinatario, que tiene la versión oficial no infectada de WhatsApp (derecha). Fuente.

Además, algunas de las versiones encontradas utilizan el reconocimiento de imágenes para buscar frases iniciales en las capturas de pantalla almacenadas en la memoria del teléfono inteligente, una serie de palabras de código que se pueden usar para obtener un control total sobre un criptomonedero y luego vaciarlo.

Y algunas de las aplicaciones falsas de Telegram robaban información de perfil de usuario almacenada en la nube de Telegram: archivos de configuración, números de teléfono, contactos, mensajes, archivos enviados/recibidos, etc. Básicamente, robaban todos los datos de los usuarios, excepto los chats secretos creados en otros dispositivos. Todas estas aplicaciones no se distribuían en Google Play, sino a través de una variedad de sitios falsos y canales de YouTube.

Cómo protegerse

Por último, algunos consejos sobre cómo protegerse de las versiones infectadas de mensajeros populares, así como de otras amenazas dirigidas a los usuarios de Android:

  • Como hemos visto, ni siquiera Google Play es inmune al malware. Dicho esto, las tiendas oficiales siguen siendo mucho más seguras que otras fuentes. Por lo tanto, utilízalas siempre para descargar e instalar aplicaciones.
  • Como esta publicación ha dejado en claro, los clientes alternativos para mensajeros populares deben tratarse con extrema precaución. El código abierto permite a cualquiera crear modificaciones y llenarlas de todo tipo de sorpresas desagradables.
  • Antes de instalar incluso la aplicación más oficial de la tienda más oficial, examina de cerca su página y asegúrate de que sea real; presta atención no solo al nombre, sino también al desarrollador. Los ciberdelincuentes a menudo intentan engañar a los usuarios haciendo clones de aplicaciones con descripciones similares a las originales.
  • Es buena idea leer las críticas negativas de los usuarios; si hay un problema con una aplicación, lo más probable es que alguien ya lo haya detectado y escrito al respecto.
  • Y asegúrate de instalar protección confiable en todos tus dispositivos Android, que te advertirá si el malware intenta colarse.
  • Si utilizas la versión gratuita de Kaspersky: Antivirus y VPN, recuerda analizar manualmente tu dispositivo después de la instalación y antes de ejecutar cualquier aplicación por primera vez.
  • El análisis de amenazas se realiza automáticamente en la versión completa de nuestra solución de seguridad para Android, que se incluye en los planes de suscripción Kaspersky Standard , Kaspersky Plus y Kaspersky Premium.
Consejos