Telegram- og Signal-mod-apper er et sikkerhetsproblem som bare venter på å skje.

Viktige takeaways

  • Fremveksten av uregulerte app-mods for Signal og Telegram har tiltrukket nettkriminelle som distribuerer skadelig programvare og spionerer på intetanende brukere.
  • Noen spyware-infiserte falske Telegram-mods har avslørt brukernes private data, mens falske Signal-mods tillot hackere å logge inn på ofrenes Signal-kontoer.
  • Sørg for å undersøke utviklere, sjekk vurderinger og anmeldelser, unngå tredjeparts appbutikker, gjennomgå apptillatelser og bruk sikkerhetsprogramvare for å holde deg trygg mot falske Signal- og Telegram-apper.

Signal og Telegram er to av verdens mest populære sikre meldingsapper; de er forpliktet til å ivareta brukernes personvern, er enkle å bruke og er fulle av kule funksjoner.

Men folk vil alltid ha mer ut av appene sine. En økning i uregulerte Signal- og Telegram-app-mods med flere funksjoner har fanget et anstendig antall brukere, som nettkriminelle utnytter for å levere skadevare og mer.

Hva er app-mods?

App-mods er ikke en iboende skummel idé. Programvare modifiseres vanligvis av teknologientusiaster, tredjepartsutviklere og fans. Eller rettere sagt, av folk som mener at den grunnleggende versjonen av appen enten mangler visse funksjoner eller har unødvendige funksjoner som hindrer ytelsen.

Noen programvareselskaper misliker konseptet og gjør sitt beste for å slå ned på modifiserte versjoner av produktene deres. Andre er imidlertid ikke imot det og oppfordrer utviklere til å komme opp med sine egne klienter eller modifiserte versjoner av samme app.

Hvordan fungerer spionprogrammer i telegram- og signalkloner?

Her er hvor det blir skummelt: nettkriminelle innså at det er et marked for app-mods og utnytter dette til å distribuere skadelig programvare. Det er akkurat det som har skjedd med visse Telegram-kloner, som oppdaget av cybersikkerhetsfirmaet Kaspersky, som publiserte funnene sine i september 2023. ESET, i mellomtiden, fant i august 2023 at trusselaktører også lager falske Signal-mods for å spionere på intetanende brukere.

Falske Telegram-mods dukket opp på Google Play som appversjoner for tradisjonell kinesisk, uigurisk og forenklet kinesisk. Den ondsinnede utvikleren gjorde en virkelig innsats for å virke overbevisende ved å bruke bilder som ligner på de Telegram bruker på sine offisielle kanaler, mens appbeskrivelser ble skrevet i de nevnte språk. Moden ble annonsert som en raskere, lettere versjon av Telegram.

Kort sagt virket dette som en helt legitim mod, lik modsene Telegram selv støtter og oppfordrer utviklere til å lage. Men det var en betydelig forskjell: den falske Telegram-appen hadde radikalt forskjellig kode, slik at skaperne kunne spionere på alle som laster ned og bruker den. De som gjorde feilen ved å installere denne moden, fikk kontaktene, meldingene, filene, navnene og telefonnumrene deres avslørt. All denne informasjonen ble sendt til trusselaktøren ettersom folk brukte appen.

Bildekreditt: Kaspersky

Med Signal hadde trusselaktøren en litt annen tilnærming. De designet en mod kalt Signal Plus Messenger og laget et falskt nettsted for å virke mer legitimt. Skadevaren som ble funnet i den falske Signal-moden var uten tvil farligere enn i den falske Telegram-appen, da den tillot skaperne å logge på målets Signal-konto.

Begge mods kan være klassifisert som spyware, en type skadelig programvare utviklet for å samle informasjon om målet uten deres viten eller samtykke.

ESET og Kaspersky mener at den samme hackergruppen, GREF, sto bak begge modsene, sammen med flere andre ondsinnede apper. Gruppen skal ha bånd til den kinesiske regjeringen og distribuerer vanligvis ondsinnet kode som har blitt identifisert som BadBazaar.

Hvorfor inkluderer disse telegram- og signalappene spionprogrammer?

Hvorfor distribuerer de disse ondsinnede modsene? I følge ESET-rapporten er en av hovedgrunnene å spionere på etniske minoriteter i Kina.

De falske appene ble senere fjernet fra Google Play Store og Samsung Galaxy Store, men skaden var allerede gjort. Det er trygt å anta at de ble lastet ned av tusenvis av mennesker (over hele verden, ikke bare i Kina) hvis private data ble avslørt og sannsynligvis i hendene på den kinesiske regjeringen.

Riktignok er det andre svindlere som distribuerer spionvare-drevne mods, de fleste økonomisk motiverte. Det virkelige spørsmålet er, hvordan dukket disse ondsinnede appene opp i to store, anerkjente appbutikker i utgangspunktet? Har ikke disse butikkene moderatorer som har som jobb å identifisere ondsinnet kode?

Googles trendrapport for juli [PDF] ga en forklaring, og sa at forskerne oppdaget trusselaktører som omgikk sikkerhetskontroller gjennom versjonskontroll. Dette betyr at de i utgangspunktet oppretter helt legitime mods og deretter injiserer skadelig programvare via en oppdatering. Selvfølgelig bør alle oppdateringer også analyseres av Google før godkjenning, men selskapet sliter tydeligvis med å kvitte appbutikken sin for skadelig programvare.

Hvordan holde seg trygg mot falske signal- og telegramapper

At disse spesielle Signal- og Telegram-modsene ikke lenger er tilgjengelige i Google Play Store og Samsung Galaxy Store betyr ikke så mye, siden det er mer enn sannsynlig at de vil dukke opp igjen i en eller annen form. Selv om de ikke gjør det, vil andre falske mods ta deres plass.

For å være trygg må du vite hvordan du skiller mellom ekte og falske apper, legitime mods og de som inneholder skadelig programvare.

1. Undersøk utvikleren

Før du laster ned en modifisert app, gjør noen undersøkelser om menneskene bak den. Er de lovlige? Hvem er de? Er aktivitetene deres godkjent av den opprinnelige utvikleren?

2. Sjekk vurderinger og anmeldelser

Det er alltid en god idé å sjekke hva andre sier og se på vurderingene og anmeldelsene. Dette er ikke en skuddsikker strategi, men den kan likevel hjelpe deg med å finne ut om moden du vil laste ned er trygg.

3. Unngå tredjeparts App Stores

Som en generell tommelfingerregel bør du ikke laste ned programvare fra tredjeparts appbutikker eller tilfeldige nettsteder. Google Play Store kan ha problemer, men den har også visse beskyttelser på plass og er et mye tryggere alternativ. Med det sagt er det noen få anerkjente nettsteder for trygge APK-nedlastinger.

4. Gjennomgå apptillatelser

Apper som Signal og Telegram dreier seg om personvern, og de vil aldri be om uvanlige tillatelser. Imidlertid kan en ondsinnet modd app. For å sjekke om en mistenkelig app ber om uvanlige tillatelser, naviger til Innstillinger > Apper, finn den aktuelle appen og trykk på den. Alternativt kan du trykke lenge på appen på startskjermen og velge Appinfo > Tillatelser. På grunn av forskjeller i hvordan Android fungerer på forskjellige enheter, kan menynavnene og prosessene variere litt, men prosessen vil være lik.

5. Bruk sikkerhetsprogramvare

Selv om du gjør feilen med å laste ned en spionprograminfisert app-mod, kan sikkerhetsprogramvare være i stand til å beskytte deg. Det er flere gratis antivirus-apper for Android som vil få jobben gjort.

Vær forsiktig med modifiserte apper

Moddiserte apper lar brukere oppleve programvare på en ny måte, men de kan også utgjøre en sikkerhetsrisiko. Dette betyr ikke at du bør unngå modifiserte versjoner av populære apper helt, men du må ta ekstra forholdsregler.

Signal og Telegram ligger milevis foran andre meldingsapper når det gjelder sikkerhet og personvern. For den gjennomsnittlige personen er de gode nok som de er.