Un desarrollador descubrió recientemente que APKPure, una conocida tienda de aplicaciones de Android propiedad de Huya, estaba distribuyendo un paquete de instalación de Telegram con un programa de puerta trasera. Esta versión maliciosa tiene errores obvios en el nombre del paquete y una firma incorrecta. El Telegrama y Telegrama
Vuelva a empaquetar el paquete oficial y agregue un marco de puerta trasera para recopilar información del usuario:
Según el análisis publicado por el investigador de seguridad @EricParker, la versión 12.6.5 de Telegram distribuida por APKPure fue refirmada y encapsulada después de agregar el marco de espionaje DataCollector. Este marco de espionaje puede robar una variedad de información privada de los usuarios, incluidos todos los registros de chat (y todos los mensajes históricos no eliminados), libretas de direcciones, contenidos de álbumes de teléfonos móviles (si se conceden permisos), archivos de documentos (si se conceden permisos), información de ubicación GPS e información de la tarjeta SIM.
La información recopilada por el marco de espionaje será cifrada mediante el algoritmo AES-GCM y enviada al servidor de comando y control del hacker (38.190.225.166). Esta dirección IP pertenece al servidor de Cogent Communications en Hong Kong. Aún no se ha encontrado ningún nombre de dominio asociado con esta dirección IP.
La probabilidad de que APKPure tenga problemas internos es extremadamente alta:
A juzgar por la situación actual, el paquete de instalación que contiene el marco espía se distribuye a través del servidor oficial APKPure. No se trata de un secuestro de DNS ni de ningún otro ataque de intermediario. La información publicada por el desarrollador @南宫雪山 muestra que la firma de la versión 12.7.3 proporcionada por APKPure es correcta, que también es la última versión de la versión oficial de Telegram para Android.
Entonces, ¿por qué el enlace de APKPure a la última versión de Telegram descarga la versión 12.6.5 con una puerta trasera? Esta versión no es la última versión, pero APKPure la designa como la última versión. Obviamente, esto excluye el secuestro de DNS o los ataques de intermediario. Lo más probable es que haya un problema interno en APKPure.
No es difícil obtener el paquete de instalación oficial de Telegram en canales como Google Play, por lo que sorprende que APKPure proporcione una versión maliciosa reempaquetada.Es simplemente que la infraestructura interna de APKPure ha sido pirateada o es una operación maliciosa realizada por expertos de APKPure.
Por último, me gustaría recordarte que al descargar aplicaciones de Android, primero debes instalarlas a través de Google Play. Si no puedes instalarlos a través de Google Play, debes descargarlos del sitio web oficial del software. Intenta no descargarlas a través de estas tiendas de aplicaciones de terceros para evitar problemas de seguridad y filtraciones de privacidad.