Las aplicaciones fraudulentas representan un problema significativo. Es algo que podemos encontrar en diversas ocasiones al instalar programas en dispositivos móviles o computadoras. En RedesZone hemos observado numerosos ejemplos, por lo que no es sorprendente encontrarse en una situación así. En este caso, informamos sobre unas aplicaciones fraudulentas de Telegram que están siendo distribuidas a través de dominios engañosos. Están dirigidas a usuarios de Android. A continuación, te explicaremos qué acciones puedes tomar para protegerte de este problema.
En total, se están distribuyendo a través de 607 dominios engañosos con el fin de infectar dispositivos con malware para Android. Utilizan sitios web con apariencia de blog y tácticas de phishing para confundir a los usuarios. El objetivo es que la víctima descargue una aplicación fraudulenta de Telegram, según han descubierto investigadores de seguridad de BforeAI’s PreCrime Labs.
Cientos de sitios distribuyen aplicaciones fraudulentas de Telegram
Esta campaña emplea una gran cantidad de sitios web falsos, redirecciones de códigos QR y APK alterados (APK es el formato que usan las aplicaciones para Android) que requieren permisos peligrosos que permiten la ejecución remota. En total, han identificado 607 dominios engañosos relacionados con esta campaña. Pretenden simular una página oficial de Telegram, donde supuestamente podrás descargar la aplicación. La realidad es que lo que descargas es software malicioso.
Como suele suceder en estas campañas maliciosas, utilizan nombres de dominio muy parecidos al original. Por ejemplo, emplean dominios como teleqram, telegramapp, telegramdl y otros similares. Buscan que todo parezca legítimo, utilizando el logo de la plataforma original y un diseño web muy similar al auténtico. No siempre es sencillo detectar algo así, dado que emplean logos auténticos y crean páginas extremadamente bien diseñadas.
Los atacantes invitan a las víctimas a descargar una supuesta aplicación de Telegram Messenger a través de esos enlaces falsos (en las páginas creadas como si fueran las originales) o mediante códigos QR (algo que solemos ver en las cartas de los restaurantes, por ejemplo). Se han identificado dos versiones del APK, que ocupan 60 y 70 MB. Cuando la víctima instala la aplicación, aparentemente todo parece normal, como si fuera la app real, pero concede permisos más amplios y permite la ejecución remota de comandos.
Estos sitios engañosos tienen el favicon (el pequeño icono que aparece en el navegador al abrir una web) de Telegram, así como botones de descarga y colores que imitan la web oficial de Telegram. Suelen incluir mensajes como “descarga la aplicación desde la web oficial”, con un enlace que, en realidad, es fraudulento.
Es importante destacar que el APK malicioso está firmado con un esquema de firmas v1 antiguo, lo que lo hace vulnerable a Janus, una vulnerabilidad que afecta a las versiones de Android desde la 5.0 (Lollipop) hasta la 8.0 (Oreo), debido a que explota un fallo ya corregido en versiones posteriores. Esto permite a los atacantes insertar código malicioso en un APK legítimo sin modificar su firma. En este caso, el malware conserva una firma válida y ayuda a eludir los métodos de detección habituales. En otras palabras, esto no te afectará si tu dispositivo Android está actualizado con alguna de las últimas versiones. Si posees un dispositivo antiguo, con una versión comprendida entre las mencionadas, podría ser vulnerable.
La vulnerabilidad Janus fue registrada como CVE-2017-13156 y se considera un grave fallo de seguridad en dispositivos Android.
Cómo prevenir problemas
Entonces, ¿qué puedes hacer para evitar este tipo de problemas? Es fundamental mantener el sentido común y no cometer errores. Al instalar una aplicación, ya sea Telegram o cualquier otra, es clave que lo hagas siempre desde sitios oficiales. Nunca debes descargar software desde enlaces que encuentres en redes sociales o que te lleguen por correo electrónico.
También es crucial mantener todo actualizado. En muchas ocasiones, los hackers aprovechan vulnerabilidades en el sistema operativo, como en el caso de Android que hemos mencionado, así como en otras aplicaciones que tengas instaladas. Por lo tanto, asegúrate de que todo está actualizado. En el caso de la vulnerabilidad que hemos mencionado, es fundamental tener una versión de Android superior a la 8.0.
Además, contar con un buen programa de seguridad es otra excelente idea para detectar y eliminar amenazas. Asegúrate de tener un software confiable que te ayude a detectar virus, troyanos y amenazas de todo tipo. Esto es algo que debes aplicar tanto en tu ordenador como en tu dispositivo móvil.
Preguntas frecuentes
¿Es seguro utilizar Telegram?
Telegram es una aplicación de mensajería muy popular y, como otras similares, es segura. No obstante, debes usarla correctamente, asegurándote de instalar solo la aplicación oficial y tener cuidado con los enlaces que puedas recibir.
¿Pueden robar mis datos a través de Telegram?
A través de Telegram, WhatsApp o cualquier red social, podrían llegar a robar tus datos si caes en la trampa del phishing o compartes más información de la que deberías.
¿Cómo protejo mi dispositivo?
Es importante mantenerlo siempre actualizado, contar con un buen programa de seguridad y solo instalar aplicaciones oficiales.
¿Cómo engañan a los usuarios para que instalen la aplicación?
Utilizan tácticas de phishing, empleando dominios muy similares al original (por ejemplo, ‘teleqram’) y sitios que imitan el diseño oficial. Invitan a descargar mediante enlaces o códigos QR, haciéndote creer que es una fuente legítima.
