Hackers transformam Telegram em ferramenta para roubo de dados com apps falsos

O Telegram está sendo transformado em uma ferramenta para disseminação de malware sofisticado em dispositivos Android. Hackers estão criando versões falsas de aplicativos populares para distribuir um tipo de malware que rouba informações sensíveis dos usuários, conforme revela uma investigação recente do Group-IB.

Ao invés de criar apps completamente novos, os criminosos apostam na estratégia de clonar aplicativos legítimos, aproveitando-se da confiança que os usuários têm em marcas conhecidas. A tática permite a instalação de um dropper malicioso que, por sua vez, implementa um payload capaz de operar mesmo sem conexão ativa com a internet.

O golpe é viabilizado pelo Telegram, que serve como centro de comando para as operações criminosas. Após infectar um dispositivo, o malware conhecido como Wonderland consegue sequestrar as mensagens SMS da vítima, permitindo que os atacantes executem comandos maliciosos em tempo real. Até o momento, a campanha foi detectada principalmente no Uzbequistão, mas especialistas alertam para o potencial de expansão global.

Como funciona o ataque via Telegram

O Wonderland foi identificado pela primeira vez em novembro de 2023 e utiliza múltiplos vetores para chegar às vítimas. Além do Telegram, os criminosos também se valem de campanhas publicitárias no Facebook, perfis falsos em aplicativos de namoro e outras plataformas de mensagens.

Uma das técnicas mais comuns envolve o roubo de contas de Telegram, que são posteriormente comercializadas em fóruns clandestinos da dark web. Com acesso a essas contas, os hackers conseguem distribuir o software malicioso diretamente para os contatos da vítima, ampliando exponencialmente o alcance da infecção.

Capturas de tela exibem o app falso “SUD CHAQIRUV” e as permissões críticas requisitadas para instalar apps de fontes desconhecidas. Uma vez instalado, o malware passa a interceptar códigos de autenticação temporários recebidos por SMS, permitindo que os criminosos acessem contas em serviços que utilizam verificação em duas etapas. O objetivo principal é obter informações bancárias e outras credenciais sensíveis.

Além do roubo de SMS, o Wonderland também é capaz de extrair números de telefone, contatos salvos no dispositivo, ocultar notificações de segurança e até mesmo enviar mensagens SMS automaticamente para propagar a infecção para outros potenciais alvos.

Engenharia social e permissões críticas

Para que o ataque seja bem-sucedido, os criminosos precisam convencer os usuários a concederem permissões avançadas aos aplicativos maliciosos. Como esses apps falsos não estão disponíveis na Play Store, é necessário que a vítima autorize a instalação de fontes desconhecidas em seu dispositivo Android.

Quando o usuário concede essas permissões, geralmente sem compreender as reais implicações, os atacantes conseguem sequestrar completamente o número do celular, iniciando o que os pesquisadores chamam de “cadeia de infecção cíclica”.

Os desenvolvedores do malware implementaram técnicas sofisticadas para evitar a detecção. O dropper é programado para simular um comportamento legítimo inicialmente, antes de ativar suas funções maliciosas. Essa estratégia permite que o malware permaneça indetectável por longos períodos, burlando os sistemas de segurança do dispositivo.

Especialistas recomendam que usuários de Telegram e outros aplicativos de mensagens mantenham um alto nível de cautela ao receber links, mesmo que enviados por contatos conhecidos. A verificação da origem dos aplicativos e a recusa em conceder permissões desnecessárias são práticas essenciais para evitar esse tipo de golpe.

Você também pode gostar dos artigos abaixo:

Qual o app de mensagens mais seguro: WhatsApp, Telegram ou Signal? Veja o veredito

Fonte: Hardware.com.br