Telegram- en Signal-mod-apps zijn een beveiligingsprobleem dat nog moet gebeuren.

Belangrijkste leerpunten

  • De opkomst van ongereguleerde app-mods voor Signal en Telegram heeft cybercriminelen aangetrokken die malware verspreiden en nietsvermoedende gebruikers bespioneren.
  • Sommige met spyware geïnfecteerde nep-Telegram-mods hebben de privégegevens van gebruikers openbaar gemaakt, terwijl nep-Signal-mods hackers in staat stelden in te loggen op de Signal-accounts van slachtoffers.
  • Zorg ervoor dat u ontwikkelaars onderzoekt, beoordelingen en recensies controleert, app-winkels van derden vermijdt, app-toestemmingen controleert en beveiligingssoftware gebruikt om veilig te blijven tegen valse Signal- en Telegram-apps.

Signal en Telegram zijn twee van 's werelds populairste beveiligde berichten-apps; ze doen er alles aan om de privacy van gebruikers te beschermen, zijn gemakkelijk te gebruiken en zitten boordevol coole functies.

Maar mensen willen altijd meer uit hun apps. Een toename van niet-gereguleerde Signal- en Telegram-app-mods met meer functies heeft een behoorlijk aantal gebruikers veroverd, die cybercriminelen uitbuiten om malware en meer te leveren.

Wat zijn app-mods?

App-mods zijn geen inherent sinister idee. Software wordt meestal aangepast door tech-enthousiastelingen, externe ontwikkelaars en fans. Of beter gezegd: door mensen die vinden dat de basisversie van de app bepaalde functionaliteiten mist of onnodige features heeft die de prestaties belemmeren.

Sommige softwarebedrijven hebben een hekel aan het concept en doen hun best om aangepaste versies van hun producten aan te pakken. Anderen zijn er echter niet tegen en moedigen ontwikkelaars aan om met hun eigen clients of aangepaste versies van dezelfde app te komen.

Hoe werkt spyware in Telegram- en signaalklonen?

Hier wordt het sinister: cybercriminelen realiseerden zich dat er een markt is voor app-mods en exploiteren deze om malware te verspreiden. Dat is precies wat er is gebeurd met bepaalde Telegram-klonen, zoals ontdekt door het cyberbeveiligingsbedrijf Kaspersky, dat zijn bevindingen in september 2023 publiceerde. ESET, ontdekte ondertussen in augustus 2023 dat bedreigingsactoren ook nep-Signaalmods creëren om nietsvermoedende gebruikers te bespioneren.

Valse Telegram-mods verschenen op Google Play als traditioneel Chinese, Oeigoerse en vereenvoudigde Chinese app-versies. De kwaadwillende ontwikkelaar deed zijn uiterste best om overtuigend over te komen, door gebruik te maken van afbeeldingen die hierop leken Telegram gebruikt het op zijn officiële kanalen, terwijl app-beschrijvingen in de bovengenoemde zijn geschreven talen. De mod werd geadverteerd als een snellere, lichtere versie van Telegram.

Kortom, dit leek een volkomen legitieme mod, vergelijkbaar met de mods die Telegram zelf onderschrijft en ontwikkelaars aanmoedigt om te creëren. Maar er was een aanzienlijk verschil: de nep-Telegram-app had een radicaal andere code, waardoor de makers ervan iedereen konden bespioneren die de app downloadt en gebruikt. Degenen die de fout maakten deze mod te installeren, hadden hun contacten, berichten, bestanden, namen en telefoonnummers zichtbaar. Al deze informatie werd naar de bedreigingsacteur verzonden toen mensen de app gebruikten.

Beeldcredits: Kaspersky

Met Signal had de dreigingsacteur een iets andere aanpak. Ze ontwierpen een mod genaamd Signal Plus Messenger en creëerden een nepwebsite om legitiemer te lijken. De malware die in de nep-Signal-mod werd aangetroffen, was aantoonbaar gevaarlijker dan in de nep-Telegram-app, omdat de makers ervan konden inloggen op het Signal-account van het doelwit.

Beide mods kunnen dat zijn geclassificeerd als spyware, een type malware dat is ontworpen om zonder hun medeweten of toestemming informatie over het doelwit te verzamelen.

ESET en Kaspersky geloven dat dezelfde hackgroep, GREF, achter beide mods zat, samen met verschillende andere kwaadaardige apps. De groep heeft naar verluidt banden met de Chinese overheid en verspreidt doorgaans kwaadaardige code die is geïdentificeerd als BadBazaar.

Waarom bevatten deze Telegram- en Signal-apps spyware?

Waarom verspreiden ze deze kwaadaardige mods? Volgens het ESET-rapport is een van de belangrijkste redenen het bespioneren van etnische minderheden in China.

De nep-apps werden later verwijderd uit de Google Play Store en Samsung Galaxy Store, maar het kwaad was al geschied. Het is veilig om aan te nemen dat ze zijn gedownload door duizenden mensen (wereldwijd, niet alleen in China) wier privégegevens openbaar werden gemaakt en waarschijnlijk in handen waren van de Chinese overheid.

Toegegeven, er zijn andere oplichters die door spyware geteisterde mods verspreiden, waarvan de meesten financieel gemotiveerd zijn. De echte vraag is: hoe zijn deze kwaadaardige apps überhaupt in twee grote, gerenommeerde app-winkels verschenen? Hebben deze winkels geen moderators die tot taak hebben kwaadaardige code te identificeren?

Google's Trendsrapport van juli [PDF] bood een verklaring en stelde dat de onderzoekers ontdekten dat bedreigingsactoren de beveiligingscontroles omzeilden door middel van versiebeheer. Dit betekent dat ze in eerste instantie volkomen legitieme mods maken en later via een update malware injecteren. Uiteraard moeten alle updates ook door Google worden geanalyseerd voordat ze worden goedgekeurd, maar het bedrijf heeft kennelijk moeite om zijn app store te ontdoen van malware.

Hoe u veilig kunt blijven tegen valse signalen en Telegram-apps

Dat deze specifieke Signal- en Telegram-mods niet langer beschikbaar zijn in de Google Play Store en de Samsung Galaxy Store betekent niet veel, aangezien het meer dan waarschijnlijk is dat ze in een of andere vorm opnieuw zullen verschijnen. Zelfs als ze dat niet doen, zullen andere nepmods hun plaats innemen.

Om veilig te blijven, moet u weten hoe u onderscheid kunt maken tussen echte en nep-apps, legitieme mods en apps die malware bevatten.

1. Onderzoek de ontwikkelaar

Voordat u een aangepaste app downloadt, moet u wat onderzoek doen naar de mensen erachter. Zijn ze legitiem? Wie zijn zij? Worden hun activiteiten onderschreven door de oorspronkelijke ontwikkelaar?

2. Controleer beoordelingen en recensies

Het is altijd een goed idee om te controleren wat andere mensen zeggen en naar de beoordelingen en recensies te kijken. Dit is geen kogelvrije strategie, maar het kan je nog steeds helpen bepalen of de mod die je wilt downloaden veilig is.

3. Vermijd app-winkels van derden

Als algemene vuistregel geldt dat u geen software moet downloaden van app-winkels van derden of willekeurige websites. De Google Play Store kent mogelijk problemen, maar beschikt ook over bepaalde beveiligingen en is een veel veiligere optie. Dat gezegd hebbende, er zijn een paar gerenommeerde sites voor veilige APK-downloads.

4. Controleer app-machtigingen

Apps als Signal en Telegram draaien om privacy en zullen nooit om ongebruikelijke toestemmingen vragen. Een kwaadwillige, aangepaste app kan dit echter wel doen. Om te controleren of een verdachte app om ongebruikelijke machtigingen vraagt, navigeert u naar Instellingen > Apps, zoek de betreffende app en tik erop. U kunt ook de app op uw startscherm lang ingedrukt houden en selecteren App-info > Machtigingen. Vanwege verschillen in de manier waarop Android op verschillende apparaten werkt, kunnen de menunamen en processen enigszins variëren, maar het proces zal vergelijkbaar zijn.

5. Gebruik beveiligingssoftware

Zelfs als u de fout maakt een met spyware geïnfecteerde app-mod te downloaden, kan beveiligingssoftware u mogelijk beschermen. Er zijn meerdere gratis antivirus-apps voor Android dat zal de klus klaren.

Wees voorzichtig met aangepaste apps

Met aangepaste apps kunnen gebruikers software op een nieuwe manier ervaren, maar ze kunnen ook een veiligheidsrisico vormen. Dit betekent niet dat u gewijzigde versies van populaire apps volledig moet vermijden, maar dat u extra voorzorgsmaatregelen moet nemen.

Signal en Telegram lopen mijlenver voor op andere berichten-apps als het gaat om beveiliging en privacy. Voor de gemiddelde persoon zijn ze goed genoeg zoals ze zijn.