São Paulo — InkDesign News — Uma nova campanha de ameaças tem enganado usuários de Android a baixar aplicativos falsos do Telegram a partir de centenas de domínios maliciosos. A operação, identificada pela BforeAI, está ativa nas últimas semanas e utiliza sites semelhantes, redirecionamentos por QR code e um APK modificado, repleto de permissões perigosas e recursos de execução remota.
Incidente e vulnerabilidade
Pesquisadores da BforeAI identificaram 607 domínios relacionados a essa campanha, todos se passando por páginas de download oficiais do Telegram. A maioria foi registrada através do registrador Gname e hospedada na China. Domínios como teleqram, telegramapp e telegramdl foram usados para imitar a marca, visando usuários que podem não perceber pequenas mudanças de ortografia. O APK malicioso é assinado com um esquema de assinatura v1 mais antigo, tornando-o vulnerável à vulnerabilidade Janus (CVE-2017-13156), que afeta versões do Android de 5.0 a 8.0. Essa vulnerabilidade permite que agentes maliciosos insiram códigos prejudiciais em um APK legítimo, mantendo sua assinatura, o que ajuda a contornar métodos de detecção padrão.
Impacto e resposta
Uma vez instalado, o aplicativo disfarçado se comporta como o original, mas silenciosamente concede amplas permissões e habilita a execução remota de comandos. O app utiliza protocolos em texto claro (HTTP, FTP) e acessa o armazenamento externo de forma abrangente.
“Através dessa abordagem, os atacantes podem monitorar atividades, roubar arquivos ou lançar novos ataques.”
(“Through this approach, attackers can monitor activity, steal files, or launch further attacks.”)— Equipe de Pesquisa, BforeAI
Além disso, a campanha incluía um banco de dados Firebase desativado, acessado anteriormente pelos atacantes. Embora o banco de dados original tenha sido retirado do ar, há preocupação de que possa ser reativado por um novo atacante, mantendo a continuidade das operações maliciosas.
Mitigações recomendadas
Para mitigar o risco, a BforeAI recomenda que organizações adotem algumas precauções. Primeiro, é fundamental implementar monitoramento automatizado de domínios para detectar registros suspeitos ou semelhantes antes que se tornem ativos. Também é importante verificar arquivos APK, URLs e valores hash relacionados usando múltiplas fontes de inteligência cibernética.
“A educação do usuário é vital; é crucial que os indivíduos evitem baixar aplicativos de sites não oficiais, mesmo que pareçam legítimos.”
(“User education is vital; it is crucial that individuals avoid downloading apps from unofficial sites, even if they appear legitimate.”)— Especialista em Segurança, BforeAI
Os métodos de phishing têm se tornado cada vez mais sofisticados, e esta campanha destaca como vulnerabilidades antigas, como a Janus, ainda podem ser exploradas contra usuários desavisados.
Embora as defesas estejam sendo aprimoradas, os riscos persistem, e a vigilância contínua é necessária para garantir a segurança digital.
Fonte: (Hack Read – Segurança Cibernética)
