Неофициальный клиент Telegram продвигал вредоносные сайты
16/07/19
Из каталога Google Play Store удалено приложение MobonoGram 2019, позиционируемое как неофициальная версия мессенджера Telegram с широким набором возможностей. Хотя приложение действительно предлагает базовые функции обмена сообщениями, программа скрыто запускает ряд сервисов на устройстве, а также загружает различные вредоносные сайты в фоновом режиме. По имеющимся данным, приложение уже успело загрузить более чем 100 тыс. пользователей.
Программа MobonoGram 2019 предназначена для пользователей в странах, где запрещен мессенджер Telegram (Россия, Иран и пр.). В приложении использовался код легитимной версии Telegram, к которому были добавлены несколько скриптов, работающих незаметно для пользователя и отвечающих за загрузку вредоносных URL, получаемых от управляющего сервера. Как отмечают специалисты Symantec, к моменту обнаружения приложения в Google Play его разработчик (компания RamKal Developers) уже успел выпустить пять обновлений.
Оказавшись на устройстве, приложение всегда запускалось с загрузкой системы. По словам исследователей, RamKal Developers реализовала ряд мер, обеспечивающих длительное присутствие MobonoGram 2019 на Android-устройстве. В частности, все вредоносные сервисы работают в фоновом режиме, кроме того, в приложении имеется таймер, который спустя два часа после отключения сервиса вновь его запускает.
По словам специалистов, загружаемые URL менялись в зависимости от географического местоположения устройства. К примеру, на гаджеты в США загружались мошеннические сайты, а в Сингапуре – ресурсы с играми и контентом «для взрослых».
MobonoGram 2019 – не единственное приложение от RamKal Developers, обнаруженное в Google Play. Специалисты выявили в каталоге еще одну программу под названием Whatsgram с аналогичным поведением. В Symantec не смогли точно сказать, как долго приложения присутствовали в официальном магазине Google.