APKPure, ein bekannter Android-App-Store von Huya, wurde kürzlich von einem Entwickler entdeckt, der ein Telegram-Installationspaket mit einem Backdoor-Programm vertreibt. Diese bösartige Version weist offensichtliche Fehler im Paketnamen und eine falsche Signatur auf. Das Telegramm und das Telegramm
Packen Sie das offizielle Paket neu und fügen Sie ein Backdoor-Framework hinzu, um Benutzerinformationen zu sammeln:
Laut der vom Sicherheitsforscher @EricParker veröffentlichten Analyse wurde die von APKPure vertriebene Telegram-Version 12.6.5 nach dem Hinzufügen des Spionage-Frameworks DataCollector neu signiert und gekapselt. Dieses Spionage-Framework kann eine Vielzahl privater Informationen von Benutzern stehlen, darunter alle Chat-Aufzeichnungen (und alle nicht gelöschten historischen Nachrichten), Adressbücher, den Inhalt von Mobiltelefonalben (sofern Berechtigungen erteilt werden), Dokumentdateien (sofern Berechtigungen erteilt werden), GPS-Standortinformationen und SIM-Karteninformationen.
Die vom Spionage-Framework gesammelten Informationen werden durch den AES-GCM-Algorithmus verschlüsselt und an den Befehls- und Kontrollserver des Hackers (38.190.225.166) gesendet. Diese IP-Adresse gehört zum Server von Cogent Communications in Hongkong. Es wurde noch kein mit dieser IP-Adresse verknüpfter Domainname gefunden.
Die Wahrscheinlichkeit, dass APKPure interne Probleme hat, ist extrem hoch:
Der aktuellen Situation nach zu urteilen, wird das Installationspaket mit dem Spionage-Framework über den offiziellen APKPure-Server verteilt. Es handelt sich nicht um ein DNS-Hijacking oder einen anderen Man-in-the-Middle-Angriff. Die vom Entwickler @南宫雪山 veröffentlichten Informationen zeigen, dass die Signatur der von APKPure bereitgestellten Version 12.7.3 korrekt ist, bei der es sich auch um die neueste Version der offiziellen Android-Version von Telegram handelt.
Warum also lädt der APKPure-Link zur neuesten Version von Telegram Version 12.6.5 mit einer Hintertür herunter? Diese Version ist nicht die neueste Version, wird aber von APKPure als die neueste Version bezeichnet. Dies schließt DNS-Hijacking oder Man-in-the-Middle-Angriffe natürlich aus. Es ist wahrscheinlicher, dass ein internes Problem in APKPure vorliegt.
Es ist nicht schwer, das offizielle Telegram-Installationspaket über Kanäle wie Google Play zu erhalten, daher ist es überraschend, warum APKPure eine neu verpackte bösartige Version bereitstellt.Es liegt lediglich daran, dass entweder die interne Infrastruktur von APKPure gehackt wurde oder es sich um einen böswilligen Vorgang handelt, der von APKPure-Insidern durchgeführt wurde.
Abschließend möchte ich Sie daran erinnern, dass Sie beim Herunterladen von Android-Anwendungen diese zunächst über Google Play installieren sollten. Wenn Sie sie nicht über Google Play installieren können, sollten Sie sie von der offiziellen Website der Software herunterladen. Versuchen Sie, sie nicht über diese App-Stores von Drittanbietern herunterzuladen, um Sicherheitsprobleme und Datenschutzlücken zu vermeiden.