APKPure, uma conhecida loja de aplicativos Android de propriedade da Huya, foi recentemente descoberta por um desenvolvedor que estava distribuindo um pacote de instalação do Telegram com um programa backdoor. Esta versão maliciosa apresenta erros óbvios no nome do pacote e assinatura incorreta. O Telegrama e o Telegrama
Reempacote o pacote oficial e adicione uma estrutura backdoor para coletar informações do usuário:
De acordo com a análise divulgada pelo pesquisador de segurança @EricParker, a versão 12.6.5 do Telegram distribuída pelo APKPure foi assinada novamente e encapsulada após a adição do framework espião DataCollector. Esta estrutura de espionagem pode roubar uma variedade de informações privadas dos usuários, incluindo todos os registros de bate-papo (e todas as mensagens históricas não excluídas), catálogos de endereços, conteúdo de álbuns de telefones celulares (se as permissões forem concedidas), arquivos de documentos (se as permissões forem concedidas), informações de localização GPS e informações do cartão SIM.
As informações coletadas pelo framework espião serão criptografadas pelo algoritmo AES-GCM e enviadas ao servidor de comando e controle do hacker (38.190.225.166). Este endereço IP pertence ao servidor da Cogent Communications em Hong Kong. Nenhum nome de domínio associado a este endereço IP foi encontrado ainda.
A probabilidade do APKPure ter problemas internos é extremamente alta:
A julgar pela situação atual, o pacote de instalação contendo a estrutura espiã é distribuído através do servidor APKPure oficial. Não é um sequestro de DNS ou outro ataque man-in-the-middle. As informações divulgadas pelo desenvolvedor @南宫雪山 mostram que a assinatura da versão 12.7.3 fornecida pelo APKPure está correta, que também é a última versão da versão oficial do Android do Telegram.
Então, por que o link do APKPure para a versão mais recente do Telegram baixa a versão 12.6.5 com um backdoor? Esta versão não é a versão mais recente, mas é designada como a versão mais recente pelo APKPure. Obviamente, isso exclui o sequestro de DNS ou ataques man-in-the-middle. É mais provável que haja um problema interno no APKPure.
Não é difícil obter o pacote de instalação oficial do Telegram em canais como o Google Play, por isso é surpreendente porque o APKPure forneceria uma versão maliciosa reempacotada.Acontece simplesmente que a infraestrutura interna do APKPure foi hackeada ou é uma operação maliciosa executada por membros do APKPure.
Por fim, gostaria de lembrar que ao baixar aplicativos Android, você deve primeiro instalá-los através do Google Play. Caso não consiga instalá-los através do Google Play, você deve baixá-los do site oficial do software. Tente não baixá-los por meio dessas lojas de aplicativos de terceiros para evitar problemas de segurança e vazamentos de privacidade.