Triada恶意软件通过假冒Telegram应用程序感染Android设备

包含Triada的Telegram应用程序的恶意版本巧妙地伪装成最新版本的Telegram Messenger,特别是版本9.2.1。幸运的是,携带Triada恶意软件的受感染版本的Telegram是通过第三方商店而不是官方Google Play商店分发的。

Check Point Software Technologies最近的研究强调了一个令人担忧的趋势:一种流行的假冒Telegram通讯应用程序,在安装后会用Triada恶意软件感染Android设备。需要注意的是,与其他恶意应用程序不同,该应用程序无法在Google Play商店中找到,而是在第三方应用程序商店中找到。

鉴于Telegram作为全球最常用的消息应用程序之一而广受欢迎,诈骗者和网络犯罪分子将其作为恶意活动的目标也就不足为奇了。如果您在不知情的情况下下载了这个假冒应用程序,您的设备可能已成为恶意软件的受害者。

恶意Telegram应用程序通过获取系统上的权限升级来启动恶意软件来运行。如果用户在注册过程中授予电话权限,则可以实现这一点。一旦授予此访问权限,恶意软件就可以毫不费力地自我注入到其他进程中,从而使其能够执行一系列恶意活动。

幸运的是,Check Point的安全产品Harmony Mobile在防范Triada恶意软件感染的应用程序方面发挥着至关重要的作用。它会扫描此类应用程序并主动阻止它们感染设备或造成任何额外伤害。

需要强调的是,早期对Triada的研究已经证明了其持久性,谷歌证实了这种恶意软件存在于廉价的Android手机中。

这些受影响的设备包括Leagoo、ARK Benefit、Zopo Speed、Doogee、Cherry Mobile Flare等多家公司的型号。这进一步强调了保持警惕和采取安全措施的必要性,因为Triada的影响范围已扩展到市场上的各种设备。

包含Triada(VirusTotal样本)的Telegram应用程序的恶意版本被巧妙地伪装成最新版本的Telegram Messenger,特别是版本9.2.1。为了使修改后的版本看起来合法,攻击者采用了一些策略,例如使用与正版应用程序相似的包名称(org.telegram.messenger)并利用该应用程序的经过验证的图标。

首次启动下载的应用程序时,用户会看到一个完美复制原始应用程序主页的登录窗口。要继续注册,系统会提示用户输入电话号码并授予访问设备的权限。

随后,恶意应用程序以内部应用程序更新服务为幌子将有害代码插入设备中。该恶意软件在后台谨慎运行,发起恶意活动,包括收集设备信息、检索配置文件和建立通信通道。

在一份报告中,Checkpoint研究人员概述了Triada恶意软件可以执行的各种操作。其中包括让受害者注册多个付费订阅、显示隐形广告和背景广告,以及使用短信和电话号码进行未经授权的应用内购买。此外,Triada还能够从受感染的设备窃取敏感数据,包括密码。

研究人员发现,最近移动应用程序的修改版本有所增加。这些经过修改的应用程序以低廉的价格以新功能和额外的定制来吸引用户。然而,一旦下载这些应用程序,它们就会将恶意软件释放到用户的设备上。

安装修改版本的风险来自于这样的事实:用户不可能知道应用程序代码实际进行了哪些更改。更准确地说,目前尚不清楚添加了什么代码以及是否有任何恶意意图。

为了确保保护,避免从不受信任的来源下载软件至关重要。在下载任何应用程序之前,用户应始终验证应用程序的开发者并确认公司的所有权。这种谨慎的方法可以帮助降低恶意软件感染的风险并保护敏感数据。

发表评论

评论已关闭。

相关文章