近日，谷歌應用商店中出現了偽裝成Telegram修訂版的間諜軟件，該軟件可入侵安卓設備并獲取敏感信息。

卡巴斯基安全研究員Igor Golovin表示，這種惡意軟件不僅可以竊取用戶的姓名、ID、聯系人、電話號碼和聊天信息，還能將這些信息傳輸至惡意行為者的服務器上。

俄羅斯網絡安全公司將這種活動命名為 Evil Telegram。

這些軟件在被谷歌商店下架前，已經被下載了數百萬次。詳細信息如下：

• 電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - 10 million+ downloads
• TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50,000+ downloads
• 電報,紙飛機-TG簡體中文版 (org.telegram.messenger.wob) - 50,000+ downloads
• 電報,紙飛機-TG簡體中文版 (org.tgcn.messenger.wob) - 10,000+ downloads
• ?????? ???? TG - ?????????? (org.telegram.messenger.wcb) - 100+ downloads

值得注意的是，與 Play Store 版 Telegram 相關的軟件包名稱是 "org.telegram.messenger"，而直接從 Telegram 網站下載的 APK 文件的軟件包名稱是 "org.telegram.messenger.web"。

惡意軟件包名稱中使用的"wab"、"wcb "和 "wob "更加表明了威脅行為者是通過這樣的錯別字搶注技術來冒充真正的Telegram應用程序，以達到掩人耳目的目的。

乍一看，這些應用程序似乎是帶有完整的本地化界面的Telegram克隆版。這個克隆版軟件從外觀界面、甚至操作運行起來都與真品幾乎一樣。僅有一個非常小的區別，就是受感染的版本包含一個額外的模塊，因此沒有引起 Google Play 管理員的注意。

ESET 在幾天前披露了針對官方應用程序市場的BadBazaar惡意軟件活動，該活動利用惡意版 Telegram 收集聊天備份。

斯洛伐克網絡安全公司在2023年3月也曾發現過類似的山寨 Telegram 和 WhatsApp 應用程序，這些應用程序帶有剪切功能，可以攔截和修改聊天信息中的錢包地址，并將加密貨幣轉賬重定向到攻擊者的錢包。