近期，一波針對安卓用戶的惡意活動浮出水面——607個(gè)仿冒Telegram的惡意域名，正通過高仿頁面?zhèn)鞑阂鈶?yīng)用。BforeAI旗下PreCrime Labs的研究，揭開了這場攻擊的技術(shù)細(xì)節(jié)與傳播路徑。

仿冒應(yīng)用：表面“合規(guī)”，暗藏惡意

攻擊者通過鏈接或二維碼，誘導(dǎo)用戶下載兩款大小為60MB/70MB的APK。這些應(yīng)用表面與正版Telegram無異，實(shí)則會悄悄獲取超額權(quán)限，并支持遠(yuǎn)程命令執(zhí)行。

技術(shù)上，惡意APK采用舊版v1簽名方案，如利用Janus漏洞（CVE-2017-13156）——該漏洞影響安卓5.0至8.0版本，可讓攻擊者在不改變簽名的情況下植入惡意代碼，輕松繞過檢測。

釣魚頁面：仿博客、堆關(guān)鍵詞的“障眼法”

釣魚網(wǎng)站常偽裝成個(gè)人博客或非官方粉絲頁，典型如zifeiji.asia：復(fù)用Telegram圖標(biāo)、配色與下載按鈕，頁面標(biāo)題塞滿“紙飛機(jī)官網(wǎng)下載”等中文SEO關(guān)鍵詞，既提升搜索排名，又掩蓋惡意意圖。

技術(shù)細(xì)節(jié)與域名特征

惡意APK不僅依賴HTTP、FTP明文協(xié)議傳輸數(shù)據(jù)，還能訪問外部存儲、接收遠(yuǎn)程命令；基礎(chǔ)設(shè)施中嵌入ajs.js（托管于telegramt.net）等跟蹤腳本，收集設(shè)備信息以提升安裝率。

607個(gè)惡意域名的頂級域分布清晰：

.com:?316?（占比超50%，強(qiáng)化可信度） .top:?87?? .xyz:?59?? .online:?31?? .site:?24

這些域名多含teleqram“telegramdl”等仿冒關(guān)鍵詞，通過Gname注冊，托管于中國地區(qū)。

特殊策略：攻擊“續(xù)命”的數(shù)據(jù)庫復(fù)用術(shù)

研究發(fā)現(xiàn)，惡意APK關(guān)聯(lián)已停用的Firebase數(shù)據(jù)庫tmessages2.firebaseio.com。若新攻擊者注冊同名項(xiàng)目，舊版惡意軟件可自動連接新數(shù)據(jù)庫，讓攻擊持續(xù)生效。

MITRE攻擊技術(shù)

威脅IOC

# 惡意域名

zifeiji.asia??

telegramt.net??

（典型命名含"teleqram""telegramdl""telegramapp"等仿冒詞，頂級域以.com/.top/.xyz為主）

# 關(guān)聯(lián)數(shù)據(jù)庫

tmessages2.firebaseio.com??

# 惡意腳本

ajs.js（托管于telegramt.net）??

# 技術(shù)特征

- APK：v1簽名，60MB/70MB，表面模仿Telegram功能??

- 通信：HTTP/FTP明文傳輸，支持遠(yuǎn)程命令執(zhí)行??

- 漏洞適配：易受Janus漏洞影響，針對Android 5.0-8.0??

歡迎轉(zhuǎn)載，轉(zhuǎn)載請注明出處@黎多魚；

消息來源：

[1]https://www.reddit.com/r/InfoSecNews/comments/1m0twn0/fake_telegram_apps_spread_via_607_domains_in_new/