سرقت اطلاعات با نسخه جعلی تلگرام پریمیوم

کارشناسان امنیت سایبری از شناسایی یک بدافزار جدید خبر داده‌اند که خود را به عنوان نسخه پریمیوم اپلیکیشن تلگرام معرفی می‌کند و اقدام به سرقت اطلاعات کاربران می‌کند.

به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، محققان شرکت امنیتی سایفرما (CyFirma) اخیراً کشف کرده‌اند که یک اپلیکیشن اندرویدی به طور جعلی به عنوان تلگرام پریمیوم ظاهر شده و اطلاعات حساس کاربران را به سرقت می‌برد. این بدافزار از روش‌هایی برای فریب کاربران و سرقت اطلاعات ورود استفاده می‌کند.

این بدافزار در حالی که خود را نسخه پریمیوم تلگرام معرفی می‌کند، در واقع با هدف سرقت اطلاعات حساس کاربران طراحی شده است. این اپلیکیشن اندرویدی، که برای اولین بار توسط سایفرما شناسایی شد، در حال حاضر تهدید بزرگی برای امنیت کاربران است.

محققان توضیح دادند که در سال 2022 و با شروع درگیری روسیه و اوکراین، کشورهای غربی تحریم‌هایی را علیه رژیم پوتین اعمال کردند. این تحریم‌ها باعث شد که کاربران روس نتوانند به فروشگاه‌های اپلیکیشن گوگل پلی و اپ استور اپل دسترسی پیدا کنند. در این راستا، وزارت توسعه دیجیتال روسیه به همراه شرکت VK (یکی از بزرگترین شبکه‌های اجتماعی روسیه) بازارچه اپلیکیشن RuStore را برای دسترسی کاربران به اپلیکیشن‌ها راه‌اندازی کرد.

سایفرما اکنون اعلام کرده که وب‌سایت‌های فیشینگ مشابه با طراحی RuStore در گیت‌هاب ایجاد شده‌اند. کاربرانی که وارد این وب‌سایت‌ها می‌شوند، اپلیکیشنی به نام GetAppsRu.apk را دریافت می‌کنند که قادر است لیست برنامه‌های نصب شده بر روی دستگاه‌ها را نمایش دهد و به حافظه دستگاه دسترسی پیدا کند. این اپلیکیشن سپس بسته‌های اضافی را نصب می‌کند.

یکی از این بسته‌ها، بدافزار اصلی به نام Telegram Premium.apk است که با نام FireScam شناخته می‌شود. این بدافزار پس از نصب، درخواست‌هایی برای دسترسی به اعلانات، داده‌های کلیپ‌بورد، پیامک‌ها و دیگر اطلاعات کاربران می‌کند. علاوه بر این، این بدافزار یک صفحه ورود جعلی تلگرام نمایش می‌دهد تا اطلاعات ورود کاربران را سرقت کند.

FireScam علاوه بر سرقت اطلاعات ورود، فعالیت‌های مختلف کاربران را نظارت کرده و اطلاعات مختلفی از جمله کلیپ‌بورد، تراکنش‌های تجارت الکترونیک و موارد حساس دیگر را ثبت می‌کند. سپس این داده‌ها به سرورهای شخص ثالث ارسال شده و پس از فیلتر شدن، به مقصد دیگری منتقل می‌شوند. اطلاعات بی‌ارزش نیز از سیستم حذف می‌شود.

سایفرما در توضیحات خود اعلام کرده که هیچ ارتباطی میان این بدافزار و عوامل تهدید شناخته‌شده وجود ندارد، اما آن را تهدیدی پیچیده و چندوجهی توصیف کرده است. در حال حاضر، اطلاعاتی در مورد تعداد قربانیان احتمالی این بدافزار وجود ندارد. کارشناسان امنیتی به کاربران توصیه کرده‌اند تا در هنگام باز کردن فایل‌ها از منابع نامعتبر یا کلیک بر روی لینک‌های مشکوک احتیاط کنند.