A equipe de pesquisas Check Point Mobile Research da Check Point Software Technologies Ltd. descobriu recentemente uma versão modificada do aplicativo Telegram Messenger para Android. O aplicativo malicioso foi detectado e bloqueado pela solução Check Point Harmony Mobile. Apesar de parecer inocente, esta versão modificada é incorporada com código malicioso vinculado ao trojan Triada. Este cavalo de Troia, o Triada, que foi detectado pela primeira vez em 2016, é um backdoor modular para Android que concede privilégios de administrador para baixar outro malware.

Versões modificadas de aplicativos móveis são muito comuns no mundo móvel. Esses aplicativos podem oferecer recursos e personalizações extras, preços reduzidos ou estar disponíveis em uma variedade maior de países em comparação com o aplicativo original. Sua oferta pode ser atraente o suficiente para atrair usuários ingênuos a instalá-los por meio de lojas de aplicativos externos não oficiais.

O risco de instalar versões modificadas vem do fato de que é impossível para o usuário saber quais alterações foram realmente feitas no código do aplicativo, ou seja, não se sabe qual código foi adicionado e se ele tem alguma intenção maliciosa.

O disfarce perfeito

O malware se disfarça como Telegram Messenger versão 9.2.1. Ele tem o mesmo nome de pacote (org[.]telegram[.]messenger) e o mesmo ícone do aplicativo Telegram original. Ao ser acionado, o usuário é apresentado à tela de autenticação do Telegram em que é solicitado inserir o número de telefone do dispositivo e a conceder permissões de telefone ao aplicativo.

Esse fluxo parece o processo de autenticação real do aplicativo Telegram Messenger original. O usuário não tem motivos para suspeitar que algo fora do comum esteja acontecendo no dispositivo.

Por trás das cenas

A análise estática dos aplicativos mostra que, ao iniciar o aplicativo, um código de malware é executado em segundo plano, disfarçado como um serviço interno de atualização de aplicativos.

O malware do Telegram coleta informações do dispositivo, configura um canal de comunicação, baixa um arquivo de configuração e aguarda para receber a carga útil (payload) do servidor remoto.

Uma vez que a carga é descriptografada e iniciada, o Triada ganha privilégios de sistema, os quais permitem que ele se injete em outros processos e execute muitas ações maliciosas.

Pesquisas anteriores realizadas nas cargas úteis do Triada apresentaram as diversas habilidades maliciosas do malware do Telegram. Isso inclui inscrever o usuário em várias assinaturas pagas, realizar compras no aplicativo usando o SMS e o número de telefone do usuário, exibir anúncios (incluindo anúncios invisíveis executados em segundo plano) e roubar credenciais e dados de login e outras informações do usuário e do dispositivo.

Como proteger o dispositivo contra malwares

• Sempre baixe seus aplicativos de fontes confiáveis, sejam sites oficiais ou lojas e repositórios oficiais de aplicativos.
• Verifique quem é o autor e criador do aplicativo antes de fazer o download. Você pode ler comentários e reações de usuários anteriores antes de fazer o download.
• Atenção às permissões solicitadas pelo aplicativo instalado e se elas são realmente necessárias para a funcionalidade do aplicativo real.

O produto Check Point Harmony Mobile proporciona proteção completa e evita que malwares se infiltrem nos dispositivos, detectando e bloqueando o download de aplicativos maliciosos em tempo real. Além disso, o Check Point Harmony Mobile oferece uma ampla gama de recursos de segurança de rede; e garante que os dispositivos não sejam expostos a comprometimento com avaliações de risco em tempo real, detectando ataques, vulnerabilidades, alterações de configuração e rooting (nome dado a uma conta de usuário especial, ou super usuário ou administrador) e jailbreak (processo de exploração de falhas de um dispositivo) avançados.