Onderzoekers van Zscaler ThreatLabZ hebben een neppe Telegram-applicatie gevonden, die zich in de Google Play Store bevindt. Bij het openen van deze app wordt de gebruiker gebombardeerd met verschillende soorten advertenties. Adware kan schadelijk zijn aangezien het links kan delen voor het downloaden van malafide Android-apps.
Oorspronkelijk dachten de onderzoekers dat het om een reguliere app ging die Telegram API’s implementeert, aangezien Telegram open-source is. Na een wat grondigere analyse ontdekte Zscaler dat de neppe app opnieuw ingepakt is, waardoor de ontwikkelaar de Telegram-app kan decompileren en advertentiebibliotheken kan toevoegen.
Werking
De neppe app heette in de Play Store Telegraph Chat en had een wat ander icoontje. Wel kende de pagina precies dezelfde beschrijving als het echte Telegram. Na installatie veranderde echter de naam en het icoon. In plaats van Telegraph Chat heet de neppe app dan Telegram en is er een pictogram dat veel meer op de echte dienst lijkt. De neppe dienst maakt gebruik van functies die de echte ook kent, al ontbreken sommige features. Bij het bellen naar andere nummers stopt de app met werken
De onderzoekers liepen tevens tegen een uniek geval aan, waarin een stukje code door de server gestuurd wordt. Hierin is een Play Store-link naar Silver Mob US Browser te vinden. Zscaler kon dit echter niet analyseren aangezien deze app voor het begin van het onderzoek uit de Play Store verwijderd was.
Zscaler ging op onderzoek uit nadat Rusland het originele Telegram blokkeerde. De chatdienst moest daardoor uit de Google Play Store en Apple App Store verwijderd worden. Dit vanwege het feit dat Telegram weigerde om de Russische security-dienst toegang te verlenen tot de geheime berichten, wat nodig zou zijn voor het werk rondom terroristische aanvallen tegengaan.
Het onderzoeksteam informeerde Google’s Android security-team, waarop Google de app verwijderde.
5 uur geleden
