恶意篡改版Telegram应用窃取中国用户安卓数据

通过600多个域名，攻击者诱使中文受害者下载存在漏洞的Telegram应用，该应用在旧版安卓系统上几乎无法被检测。

Robert Lemos，特约撰稿人 | 2025年7月16日 | 阅读时间4分钟

图片来源：Robert Lemos（照片），ASEAN（地图）

一个未知威胁组织使用特洛伊木马化的安卓恶意软件针对亚太地区的中文消费者和员工，该软件利用旧漏洞允许攻击者添加恶意功能。

此次攻击使用网络钓鱼和搜索引擎优化手段，将潜在受害者重定向到600多个托管中文下载站点的域名，这些站点看似允许安装适用于多种平台（包括安卓）的Telegram消息应用。实际上，下载页面通过二维码针对安卓用户，试图说服他们安装利用旧漏洞绕过某些安全措施的恶意版Telegram。

发布该分析的托管检测与响应公司BforeAI的安全分析师Rishika Desai表示：“第三方下载在亚太地区相当普遍。”

“我们定位的所有607个域名都是独立网站，与Google Play没有任何连接，“她说。“二维码会将用户重定向到一个主要网站，从那里下载应用程序或可执行文件。”

使用受损的消息应用和其他流行应用针对亚洲用户并不罕见。根据法国斯特拉斯堡网络安全软件公司Doctor Web于4月发布的研究，最近一项调查发现，在中国销售的廉价智能手机预装了特洛伊木马化的消息应用，如WhatsApp。网络犯罪团伙的其他攻击针对高价值个人，以窃取加密货币、入侵银行账户或进行网络间谍活动。

相关阅读：4个中国APT组织攻击台湾半导体行业

2022年的一次类似攻击诱使用户通过中文网站安装虚假Telegram应用。虽然该网站宣传多平台安装程序，但只有Windows系统被重定向到恶意下载，其他系统被重定向到实际的Telegram站点。

“网络钓鱼攻击是攻击者最初入侵目标系统最常用的技术之一，“Cyble研究当时指出。“这些攻击非常普遍；然而，在这种情况下，有效载荷特别复杂，包含多个高度先进的间谍功能。”

纸飞机与Telegram

当前活动使用域名抢注（如"teleqram”、“telegramapp"和"apktelegram”）和网络钓鱼手段，将潜在受害者引导到主动分发声称是流行Telegram Messenger应用的安卓软件包（APK）的页面。BforeAI研究人员在报告中表示，这些域名主要托管在中文国家，页面标题讨论"纸飞机”——Telegram标志——并有一个可以开始下载的二维码。

相关阅读：北美APT组织利用Exchange零日漏洞攻击中国

BforeAI的Desai表示，页面标题可能是一种在搜索结果中植入恶意下载页面的方式。

“攻击者可能会选择全球范围内越来越受欢迎的东西，并承诺可以通过Telegram分发，这就是诱使受害者下载的方式，“她说。

600多个域名拥有宣传Telegram下载的中文网站，但实际上导向恶意软件。来源：BforeAI

技术漏洞细节

特洛伊木马化的Telegram应用使用原始的Android v1签名方案，该方案不保护APK存档中的元数据。这一缺陷允许通过Janus漏洞对旧手机（运行5.0至8.0版本）进行更严重的攻击，该漏洞最初于2017年7月发现，并于2017年12月修补。该漏洞允许攻击者在APK文件中隐藏有效载荷，或使用附加功能更新已安装的Android应用。

BforeAI在报告中表示：“制作恶意应用后，使用其原始v1签名重新打包。这种修改未被检测到，允许受损应用在未引起怀疑的情况下安装。本质上，它使攻击者能够使应用更危险，将其作为APK重新分发，并欺骗用户——尤其是在旧设备上——安装它，同时完全绕过安全检查。”

相关阅读：韩国政府对SK Telecom违规行为处以罚款

最初，该漏洞影响了近四分之三的Android设备，但如今，易受攻击的Android版本仅占现有设备的约3.4%。

持续威胁与防御措施

恶意APK使用其权限调用Android Media Player作为接收和执行远程命令的机制，并让攻击者控制设备。

此外，威胁行为者使用Firebase后端即服务实例来控制应用并处理用户身份验证和文件存储。根据Desai的说法，代码中引用的一个Firebase实例目前已停用。

“如果你可以用与原始[攻击者使用的名称]相同的名称命名[Firebase实例]，其他应用可以连接到此现有Firebase，“她说。“有人可能利用这一点帮助研究此活动的研究人员，或者另一个网络组织可能掌握这些数据并继续此活动。这将使追踪确切 perpetrator 变得困难。”

BforeAI在报告中表示，公司可以通过联系的恶意（或不可信）域检测攻击，而威胁情报服务和端点检测与响应（EDR）平台可用于识别潜在恶意软件。至少，公司应防止员工从未经验证的来源下载和安装应用。