Эксперты «Лаборатории Касперского» выявили опасное шпионское ПО, маскирующееся под модифицированные версии популярного мессенджера Telegram. В официальном магазине Google Play эти приложения уже скачали десятки тысяч пользователей.
Целая группа зараженных приложений была обнаружена в Google Play. Сами злоумышленники дали ей название «Paper Airplane». Мессенджеры представлены на нескольких языках: упрощенном и классическом китайском, а также на уйгурском. Разработчики обещают улучшенную производительность и повышенную скорость работы за счёт распределенной сети ЦОД.
На первый взгляд эти приложения — полноценные клоны Telegram с интерфейсом, переведенным на указанные выше языки. Все выглядит и работает практически так же, как и в «настоящем» мессенджере. Однако подвох кроется в коде приложений. В заражённые версии Telegram добавлен дополнительный модуль. Он постоянно следит за тем, что происходит в мессенджере, и пересылает на командный сервер создателей шпиона массу данных: все контакты пользователя, все полученные и отправленные сообщения, включая вложенные файлы, названия чатов и каналов, имя и номер телефона владельца аккаунта.
Код совсем незначительно отличается от оригинального, поэтому системам безопасности от Google очень сложно обнаружить вредоносные элементы. Тревожит тот факт, что моды набрали уже 60 000 скачиваний и, вероятно, продолжают собирать информацию о своих жертвах.
