Информацията за акцията на Google идва от Ars Technica, а методът на опериране е следния – потребителите биват залъгвани със зареждащата се Facebook Login страница, която изглежда достоверно и не поражда поводи за съмнение. Това, което се случва обаче е, зареждане на JavaScript от command and control сървър, който краде идентификационните данни и ги предава на приложението.

В микса от зловредни софтуери са намерени пет варианта, всеки от които обаче използва един и същ код на JavaScript. От Google съобщават на Ars Technica, че са забранили достъпа до Play Store на всички разработчици на зловреден софтуер и все пак остават съмненията за ефекта на тази мярка, след като вероятно същите лица могат да създадат свои нови developer профили, срещу еднократно заплащане на 25 долара.

Автоматизираният скрининг на Google успява да удържи на големи количества зловреден софтуер, опитващи се да достигнат до Play Store, но тук явно тънкостта на използваната техника е помогнала на измамните приложения да се промъкнат отвъд защитата и да достигнат до забележителните 5,8 милиона изтегляния.

От ArsTechnica съветват потърпевшите да прегледат внимателно дали няма следи от компрометиране както на самото устросйтво, така и във Facebook профилите. Също така, да бъде изтеглена безплатна програма за сканиране на устройството, но само ако е от сигурен, познат и лицензиран източник.

“Дори когато Telegram не е инсталиран или не се използва, системата позволява на хакерите да изпращат злонамерени команди и операции дистанционно чрез приложението за съобщения,” казват изследователи от фирмата за киберсигурност, които са установили не по-малко от 130 атаки през последните три месеца които се възползват от нов многофункционален троянец за отдалечен достъп (RAT – Remote Access Trojan), наречен „ToxicEye“.

Не за първи път Telegram се използва за зловредни действия. През септември 2019 г. бе установено, че крадец на информация извлича данни за криптовалутни портфейли от заразени компютри, използвайки Telegram като канал за ексфилтрация.

Стратегията се отплаща по редица начини. Като начало, Telegram не само не е блокиран от корпоративни антивирусни системи, но и приложението позволява на хакерите да останат анонимни, тъй като процесът на регистрация изисква само мобилен номер, като по този начин им дава достъп до заразени устройства от почти всяко място по света.

Настоящата кампания, забелязана от Check Point, не е по-различна. Разпространен чрез фишинг имейли, вградени със злонамерен изпълним файл на Windows, ToxicEye използва Telegram за комуникация със command-and-control сървъра (C2) и качва на данни към него. Злонамереният софтуер също така предлага редица експлойти, които му позволяват да открадне данни, да прехвърля и изтрива файлове, да прекратява процеси, да деплойва кейлогър, да достига до микрофона и камерата на компютъра, за да записва аудио и видео и дори да криптира файлове с цел последващ откуп.

По-конкретно атаката започва със създаването на бот на Telegram от нападателя, който след това се вгражда в конфигурационния файл на RAT, преди да се компилира в изпълним файл. След това .EXE файлът се инжектира в документ на Word (“solution.doc”), който при отваряне изтегля и стартира Telegram RAT (“C:\ Users\ToxicEye\rat.exe”).

„Открихме нарастваща тенденция, при която авторите на зловреден софтуер използват платформата Telegram като готова command-and-control система за разпространение на зловреден софтуер в организации“, каза мениджърът на Check Point R&D Group Идан Шараби. „Вярваме, че нападателите се възползват от факта, че Telegram се използва и се разрешава в почти всички организации, прилагайки този ход за извършване на кибер атаки, който може да заобиколи ограниченията за сигурност.“