Cosa sapere su TeleGrab, il malware per Telegram Desktop che ruba contatti e conversazioni

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I malware su Telegram sono una minaccia molto meno diffusa rispetto ad altre piattaforme – Google Play, per esempio – e spesso rimangono confinati in quelle regioni geografiche dove Telegram è l’app di messaggistica predominante, come Iran e Russia (dove però oggi l’applicazione rischia di scomparire: leggi anche “Le 10 cose da sapere su Pavel Durov, Telegram e il Telegram Open Network sui fatti accaduti negli ultimi giorni“). Ciononostante, può capitare che a volte alcuni di questi virus superino i confini nazionali o giungano all’attenzione di laboratori di ricerca del settore: è il caso di TeleGrab, un malware per Telegram Desktop che punta al furto delle conversazioni sull’app e dei contatti dell’utente sfruttando… nessuna vulnerabilità, ma semplicemente le pieghe del codice di programmazione del client per PC di Telegram.

Siete pronti per scoprire tutto ciò che occorre sapere su TeleGrab, il malware per Telegram Desktop?

Che cos'è TeleGrab

TeleGrab non nasce come malware per Telegram, quanto piuttosto come semplice – e potremmo dire anche banale – virus per PC indirizzato alla raccolta di dati di navigazione online come cookies e cache dei browser; a questa prima versione, scoperta per la prima volta dal laboratorio Cisco Talos il 4 aprile 2018, se ne aggiunge una seconda il 10 aprile successivo che aggiunge tra le sue “feature” la capacità di prelevare le cache del client per PC di Telegram, Telegram Dekstop, e di Steam. Una terza versione, comunque  rintracciata e analizzata dal laboratorio Cisco Talos, non è mai stata diffusa nella Rete.

Uno dei profili di Hacker Racoon sul web

L’autore del programma sembrerebbe essere un hacker di origini russe, autodenominatosi “Racoon Hacker” sul web ma anche noto come “Enot” e/o “Racoon Pogoromist“; il suo malware sarebbe passato probabilmente inosservatononostante abbia già mietuto migliaia di vittime, la maggior parte delle quali concentrate nell’area russofona – se non fosse stato oggetto di un tutorial su YouTube estremamente dettagliato, che ha attirato l’attenzione degli analisti di Cisco Talos. Questi ultimi sono abbastanza sicuri nell’identificare l’autore del video nella persona di Racoon Hacker, a sua volta già ideatore di un precedente malware per Telegram Desktop, “Stealer_for_Telegram_Desktop“, oggi non più reperibile sul web.

Come TeleGrab attacca gli account Telegram degli utenti

TeleGrab è un malware per Telegram Desktop, ma non è un malware che si diffonde attraverso Telegram Desktop; non può minacciare gli utenti Android dell’applicazione e le stesse strategie di attacco attuate sono complesse. Lo stesso report diffuso da Cisco Talos non è chiarissimo nella spiegazione delle modalità di estrapolazione delle chat dell’utente che il malware attua per l’hijacking dell’account Telegram della vittima.

Gli stessi sviluppatori di Telegram specificano chiaramente i motivi che li spingono a non implementare le Chat Segrete su Telegram Desktop

Va anche notato che TeleGrab non si impossessa delle chat dell’utente sfruttando una vulnerabilità di Telegram Dekstop; così come infatti riporta lo stesso team di sviluppo dell’applicazione sul sito ufficiale, Telegram Desktop e Telegram Web dispongono di un grado di sicurezza minore rispetto alla versione per smartphone ed iPhone, e per tale motivo non sono mai state introdotte feature particolarmente sensibili come le Chat Segrete – per fortuna, perché TeleGrab sarebbe in grado di impossessarsene altrimenti. L’esistenza di TeleGrab, come più volte sottolineano gli sviluppatori di Cisco Talos, non è la prova della presenza di alcuna vulnerabilità di Telegram Desktop, né della possibilità che un malware possa impossessarsi delle Chat Segrete su Android.

Una volta dunque giunto sul PC della vittima, TeleGrab si appropria non solo dei cookies e delle cache dei browser in uso sul computer, ma anche delle cache e dei file map di Telegram Desktop – i quali sono comunque crittografati attraverso tecnologia AES tramite la password dell’utente. Tuttavia, secondo Cisco Talos, non dovrebbe essere difficile riuscire a sviluppare un programma che, tramite un attacco brute force, possa riuscire a penetrarne le difese.

Una volta giunti a questo punto della strategia di attacco di questo malware per Telegram Desktop, la situazione si complica: servendosi delle cache e dei file map TeleGrab è in grado di accedere alla sessione in uso di Telegram Desktop, qualora questa sia effettivamente attiva – e, di default, alla chiusura del programma Telegram Desktop mantiene comunque l’utente collegato al proprio account. Per i ricercatori si tratta di una procedura inusuale per un virus se finalizzata ad un attacco di hijacking, soprattutto perché non si ritiene siano ancora stati inventati o scoperti software per la decrittazione delle informazioni contenute nei file delle cache.

Ciò detto, così facendo TeleGrab mette le mani su numerose informazioni sensibili per l’utente come le chat di Telegram e i contatti salvati; non sarà però in grado di impossessarsi delle Chat Segrete poiché salvate localmente sullo smartphone dell’utente.

Come difendersi da TeleGrab

La minaccia di TeleGrab è relativamente piccola se paragonata alle grandi reti botnet diffuse per il web, secondo i ricercatori di Cisco Talos; tuttavia, l’esistenza di un simile malware capace di attuare una strategia così particolare – ciononostante, efficace – dovrebbe suonare come un campanello d’allarme per tutti gli sviluppatori di app di chat sicure.

TeleGrab è stato sviluppato principalmente per una platea russofona, di conseguenza difficilmente gli utenti italiani potranno mai venirne a contatto; la presenza comunque di canali Telegram diffusori di contenuti pirata e di dubbia provenienza ci porta ancora una volta a raccomandare a tutti gli utenti dell’app prudenza nel download e nell’installazione di software non sicuri, su PC come su smartphone.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//