URL
type
status
date
slug
summary
tags
category
icon
password
近期,一波针对安卓用户的恶意活动浮出水面——607个仿冒Telegram的恶意域名,正通过高仿页面传播恶意应用。BforeAI旗下PreCrime Labs的研究,揭开了这场攻击的技术细节与传播路径。
仿冒应用:表面“合规”,暗藏恶意
攻击者通过链接或二维码,诱导用户下载两款大小为60MB/70MB的APK。这些应用表面与正版Telegram无异,实则会悄悄获取超额权限,并支持远程命令执行。
技术上,恶意APK采用旧版v1签名方案,如利用Janus漏洞(CVE-2017-13156)——该漏洞影响安卓5.0至8.0版本,可让攻击者在不改变签名的情况下植入恶意代码,轻松绕过检测。
钓鱼页面:仿博客、堆关键词的“障眼法”
钓鱼网站常伪装成个人博客或非官方粉丝页,典型如
zifeiji.asia:复用Telegram图标、配色与下载按钮,页面标题塞满“纸飞机官网下载”等中文SEO关键词,既提升搜索排名,又掩盖恶意意图。技术细节与域名特征
恶意APK不仅依赖HTTP、FTP明文协议传输数据,还能访问外部存储、接收远程命令;基础设施中嵌入
ajs.js(托管于telegramt.net)等跟踪脚本,收集设备信息以提升安装率。607个恶意域名的顶级域分布清晰:
这些域名多含
teleqram“telegramdl”等仿冒关键词,通过Gname注册,托管于中国地区。特殊策略:攻击“续命”的数据库复用术
研究发现,恶意APK关联已停用的Firebase数据库
tmessages2.firebaseio.com。若新攻击者注册同名项目,旧版恶意软件可自动连接新数据库,让攻击持续生效。
MITRE攻击技术
MITRE攻击技术 | 说明 |
T1456(钓鱼) | 仿冒Telegram页面+中文SEO关键词,诱导下载恶意APK,属“仿冒应用下载诱导”。 |
T1071.001(应用层协议:HTTP/FTP) | 恶意APK用HTTP/FTP明文传输数据,匹配“应用层协议传恶意数据”特征。 |
T1068(权限提升) | 超额获取权限扩大控制范围,属恶意软件权限提升技术。 |
T1210(远程命令执行) | 支持远程指令操控设备,符合“远程控制受妥协设备”特征。 |
T1583.001(恶意域名注册) | 注册607个仿冒域名(如 teleqram)托管钓鱼页,属“相似域名支撑攻击”。 |
T1027.001(混淆文件:签名欺骗) | 借Janus漏洞实现签名不变植入恶意代码,逃避检测。 |
威胁IOC
- 作者:NickYam
- 链接:https://i.nickyam.com/article/heres-how-hackers-fake-pirated-telegram-and-buy-607-knockoff-domains
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
