De flesta telegram- och signalmoddar är spionprogram, och det är så du ser dem

  • En ökning av icke-auktoriserade app-modifieringar för Signal och Telegram har blivit en fälla för cyberkriminella, som använder dessa för att sprida skadlig kod och spionera på intet ont anande användare.
  • Vissa falska Telegram-modifieringar infekterade med spionprogram har avslöjat användares privata information, medan falska Signal-modifieringar har gjort det möjligt för hackare att logga in på offrens Signal-konton.
  • För att skydda dig mot falska Signal- och Telegram-appar, är det viktigt att noggrant undersöka utvecklare, granska betyg och recensioner, undvika appbutiker från tredje part, kontrollera app-behörigheter och använda säkerhetsprogram.

Signal och Telegram är två av de mest populära apparna globalt för säker kommunikation. De prioriterar användarnas integritet, är användarvänliga och rika på funktioner.

Men användare vill ofta ha mer än vad originalapparna erbjuder. En ökning av inofficiella Signal- och Telegram-app-modifieringar med utökade funktioner har lockat ett stort antal användare, vilket cyberbrottslingar utnyttjar för att leverera skadlig kod och genomföra andra skadliga aktiviteter.

Vad är App-modifieringar?

App-modifieringar är i grunden inte en negativ företeelse. Vanligtvis modifieras programvara av tekniskt intresserade användare, tredjepartsutvecklare och entusiaster. De som gör detta anser att originalversionen av appen antingen saknar vissa funktioner eller har onödiga funktioner som påverkar prestandan negativt.

Vissa mjukvaruföretag är kritiska mot detta och arbetar aktivt för att begränsa modifierade versioner av deras produkter. Andra företag har dock inga invändningar och uppmuntrar utvecklare att skapa sina egna klienter eller modifierade versioner av samma app.

Hur fungerar spionprogram i Telegram- och Signal-kloner?

Här blir situationen allvarlig: cyberkriminella har upptäckt att det finns en efterfrågan på app-modifieringar och använder detta för att sprida skadlig kod. Detta är precis vad som har hänt med vissa Telegram-kloner, vilket upptäcktes av cybersäkerhetsföretaget Kaspersky som offentliggjorde sina resultat i september 2023. ESET upptäckte i augusti 2023 att cyberkriminella också skapar falska Signal-modifieringar för att övervaka intet ont anande användare.

Falska Telegram-modifieringar dök upp på Google Play i appversioner för traditionell kinesiska, uiguriska och förenklad kinesiska. Den illvilliga utvecklaren ansträngde sig verkligen för att verka trovärdig genom att använda bilder som liknade de som Telegram använder på sina officiella kanaler, och appbeskrivningarna var skrivna på de ovannämnda språken. Modifieringen marknadsfördes som en snabbare och mer lättanvänd version av Telegram.

Kort sagt, det verkade vara en legitim modifiering, liknande de som Telegram själva stöder och uppmuntrar utvecklare att skapa. Men det fanns en viktig skillnad: den falska Telegram-appen hade en helt annan kod, vilket gjorde det möjligt för skaparen att spionera på alla som laddade ner och använde den. De som gjorde misstaget att installera denna modifiering fick sina kontakter, meddelanden, filer, namn och telefonnummer exponerade. All denna information skickades till den illvilliga aktören när appen användes.

Bildkälla: Kaspersky

Med Signal hade den illvilliga aktören en något annorlunda strategi. De skapade en modifiering kallad Signal Plus Messenger och konstruerade en falsk webbplats för att ge ett mer legitimt intryck. Skadlig programvara i den falska Signal-modifieringen var utan tvekan farligare än i den falska Telegram-appen, eftersom den gjorde det möjligt för skaparen att logga in på offrets Signal-konto.

Båda modifieringarna kan klassificeras som spionprogram, en typ av skadlig programvara som är avsedd att samla in information om målet utan deras medvetande eller tillåtelse.

ESET och Kaspersky tror att samma hackergrupp, GREF, låg bakom båda modifieringarna, tillsammans med flera andra skadliga appar. Gruppen har enligt uppgift kopplingar till den kinesiska regeringen och sprider ofta skadlig kod som har identifierats som BadBazaar.

Varför innehåller dessa Telegram- och Signal-appar spionprogram?

Varför sprider de dessa skadliga modifieringar? Enligt ESET:s rapport är ett av huvudmotiven att spionera på etniska minoriteter i Kina.

De falska apparna avlägsnades senare från Google Play Store och Samsung Galaxy Store, men skadan var redan skedd. Det är rimligt att anta att de laddades ner av tusentals människor (över hela världen, inte bara i Kina) vars privata data exponerades och sannolikt hamnade i den kinesiska regeringens händer.

Det finns också andra bedragare som sprider spionprogrambaserade modifieringar, främst av ekonomiska skäl. Den avgörande frågan är hur dessa skadliga appar kunde dyka upp i två stora, välrenommerade appbutiker från början? Har dessa butiker inte moderatorer vars uppgift är att upptäcka skadlig kod?

Googles trendrapport från juli [PDF] erbjöd en förklaring och uppgav att deras forskare hade upptäckt illvilliga aktörer som kringgick säkerhetskontroller genom versionshantering. Detta innebär att de först skapar helt legitima modifieringar och sedan injicerar skadlig kod via en uppdatering. Uppenbarligen borde alla uppdateringar också analyseras av Google innan de godkänns, men företaget kämpar uppenbarligen med att eliminera skadlig programvara från sin appbutik.

Hur man skyddar sig mot falska Signal- och Telegram-appar

Att just dessa Signal- och Telegram-modifieringar inte längre finns tillgängliga i Google Play Store och Samsung Galaxy Store betyder inte så mycket, eftersom det är mycket troligt att de kommer att dyka upp igen i någon form. Även om de inte gör det, kommer andra falska modifieringar att ta deras plats.

För att vara säker måste du veta hur du skiljer mellan äkta och falska appar, legitima modifieringar och de som innehåller skadlig kod.

1. Undersök utvecklaren

Innan du laddar ner en modifierad app, gör lite efterforskning om personerna bakom den. Är de trovärdiga? Vilka är de? Har de fått godkännande från den ursprungliga utvecklaren för sina aktiviteter?

2. Granska betyg och recensioner

Det är alltid bra att se vad andra användare säger och titta på betyg och recensioner. Det är inte en idiotsäker metod, men det kan hjälpa dig att bedöma om den modifiering du planerar att ladda ner är säker.

3. Undvik appbutiker från tredje part

Som en allmän regel bör du undvika att ladda ner programvara från appbutiker som drivs av tredje part eller från slumpmässiga webbplatser. Google Play Butik kan ha sina brister, men har trots det säkerhetsmekanismer och är ett mycket säkrare alternativ. Det finns dock några välrenommerade webbplatser som erbjuder säkra APK-nedladdningar.

4. Kontrollera appbehörigheter

Appar som Signal och Telegram fokuserar på integritet och kommer aldrig att begära ovanliga behörigheter. En skadlig modifierad app däremot, kan göra det. För att kontrollera om en misstänkt app ber om ovanliga behörigheter, gå till Inställningar > Appar, leta reda på appen och tryck på den. Alternativt kan du trycka länge på appen på hemskärmen och välja Appinformation > Behörigheter. Eftersom Android fungerar lite olika på olika enheter kan menyernas namn och tillvägagångssätt skilja sig något, men den grundläggande processen är densamma.

5. Använd säkerhetsprogram

Även om du skulle begå misstaget att ladda ner en spionprograminfekterad app-modifiering, kan säkerhetsprogram skydda dig. Det finns flera kostnadsfria antivirusprogram för Android som kan utföra detta.

Var försiktig med modifierade appar

Modifierade appar gör det möjligt för användare att uppleva programvara på ett nytt sätt, men de kan också medföra säkerhetsrisker. Det betyder inte att du helt bör undvika modifierade versioner av populära appar, men du måste vara extra försiktig.

Signal och Telegram ligger långt före andra meddelandeappar när det gäller säkerhet och integritet. För de flesta användare är de tillräckligt bra som de är.