APKPure, een bekende Android app store van Huya, werd onlangs ontdekt door een ontwikkelaar die een Telegram-installatiepakket met een achterdeurprogramma verspreidde. Deze kwaadaardige versie bevat duidelijke fouten in de pakketnaam en een onjuiste handtekening. Het telegram en het telegram

113057.png

Verpak het officiële pakket opnieuw en voeg een achterdeurframework toe om gebruikersinformatie te verzamelen:

Volgens de analyse vrijgegeven door beveiligingsonderzoeker @EricParker, werd de Telegram-versie 12.6.5, gedistribueerd door APKPure, opnieuw ondertekend en ingekapseld na het toevoegen van het spionageframework DataCollector. Dit spionageframework kan een verscheidenheid aan privégegevens van gebruikers stelen, waaronder alle chatrecords (en alle niet-verwijderde historische berichten), adresboeken, de inhoud van mobiele telefoonalbums (als toestemming is verleend), documentbestanden (als toestemming is verleend), GPS-locatie-informatie en SIM-kaartinformatie.

De informatie die door het spionageframework wordt verzameld, wordt gecodeerd door het AES-GCM-algoritme en naar de commando- en controleserver van de hacker gestuurd (38.190.225.166). Dit IP-adres behoort tot de server van Cogent Communications in Hong Kong. Er is nog geen domeinnaam gevonden die aan dit IP-adres is gekoppeld.

De kans op het hebben van interne problemen is extreem hoog:

Afgaande op de huidige situatie wordt het installatiepakket met het spionageframework gedistribueerd via de officiële APKPure-server. Het is geen DNS-kaping of een andere man-in-the-middle-aanval. Uit de informatie die is vrijgegeven door de ontwikkelaar @南宫雪山 blijkt dat de handtekening van versie 12.7.3 verstrekt door de beschrijving correct is, wat ook de nieuwste versie is van de officiële Android-versie van Telegram.

Dus waarom heeft de link van de beschrijving naar de nieuwste versie van Telegram versie 12.6.5 een achterdeur? Deze versie is niet de nieuwste versie, maar wordt door is aangegeven als de nieuwste versie. Dit sluit uiteraard DNS-kaping of man-in-the-middle-aanvallen uit. Het is waarschijnlijker dat er een intern probleem is in APKPure.

Het is niet moeilijk om het officiële Telegram-installatiepakket te verkrijgen van kanalen als Google Play, dus het is verrassend waarom APKPure een opnieuw verpakte kwaadaardige versie zou aanbieden.Het is eenvoudigweg zo dat ofwel de interne infrastructuur van Janus is gehackt, ofwel dat het een kwaadwillige operatie is die is uitgevoerd door insiders van Maand.

Tot slot wil ik u eraan herinneren dat u bij het downloaden van Android-applicaties deze eerst via Google Play moet installeren. Als u ze niet via Google Play kunt installeren, moet u ze downloaden van de officiële website van de software. Probeer ze niet te downloaden via appstores van derden om beveiligingsproblemen en privacylekken te voorkomen.