赛门铁克(Symantec)本周指出,基于Telegram代码但号称拥有更多功能的MobonoGram 2019其实是个恶意程式,会在背景偷偷载入其它恶意网站,而且在被Google移除之前,已有超过10万次的下载数量。
Telegram为一跨平台的即时通讯软体,它的服务器端是专有软体,但客户端为开源软体,允许其它开发人员打造不同的客户端,而MobonoGram 2019即为其中一例。
MobonoGram 2019支持英文与波斯文,而且就算是在诸如俄罗斯或伊朗等Telegram遭禁的国家,都能透过MobonoGram 2019使用Telegram,估计已有超过10万次的下载量。
不过,赛门铁克发现,该程序含有一个广播接收器,当安装程序、更新程式或开启程序时,就会在未经使用者同意下接收各种服务,并存取远端服务器,继之尝试下载黑客所指定的网页。
这些网页会根据装置的IP位址而有所不同,例如若受害者位于美国,所下载的网页多为得奖诈骗(Fakeyouwon),若位于新加坡,可能会载入得奖诈骗、游戏或色情网页。看起来黑客的目的只是为了执行点击诈骗(Click Fraud)来赚取广告费,但也有可能发展成其它恶意目的。
研究人员还察觉Google Play上有另一个社交传讯程序Whatsgram,有着与MobonoGram 2019类似的行为模式,且作者都是RamKal Developers,赛门铁克亦在第三方的Android程序市集发现4款含有相同恶意代码的程序,而作者则皆为PhoenixAppsIR。
从今年1月到5月,赛门铁克已侦测到1,235个连至得奖诈骗网站的案例,主要的受害者位于美国、伊朗、印度及阿拉伯联合大公国。
资料来源:iThome Security