Clientes no oficiales de Telegram y la privacidad en Irán

Desde hace muy pocos años Telegram se convirtió en una aplicación muy popular en Irán, el bloqueo de Telegram en Irán empezó con un bloqueo temporal en enero del 2018, pero en mayo del 2018 el bloqueo de esta aplicación paso a ser definitivo.

Los usuarios iraníes para seguir usando Telegram empezaron a usar servicios de VPN y proxys para poder conectarse. Debido a la generalización del uso de estos servicios y al no disponer de fuentes fiables para descargar estas aplicaciones el malware enfocado a los dispositivos móviles se expandió rápidamente en el país.

Poco tiempo después nacieron dos clientes no oficiales de Telegram con el nombre de Golden Telegram (Talagram ) y Hotgram, estas versiones utilizan sus proxies internos y gratuitos para eludir la censura. Debido a esto mucha gente se dirigió a ellas porque eran apps gratuitas y estaban disponibles en desde cafebazaar[.]ir (una tienda de apps muy popular en Irán).

¿Cómo Hotgram y Talagram espían a los usuarios?

Al principio, no hubo información específica sobre quien eran los creadores detrás de estas apps, pero la investigación reveló que fueron desarrolladas por una compañía llamada Iran’s Intelligent Solutions Land (SLS).

¿Qué pueden hacer algunos clientes de terceros a los usuarios?

  • Reenviar sus conversaciones o otros servidores externos a Telegram
  • Expulsarte o unirte a grupos/canales de forma automática
  • Reportar usuarios/grupos/canales de forma automática sin tu consentimiento
  • Copiar tu agenda de contactos con los números de los usuarios incluidos
  • Listar los canles, grupos y chats donde estas metido
  • Abrir enlaces de forma automática
  • Posibilidad de instalar malware

Esta lista es pequeña en comparación con todas las posibilidades que podrían tener los creadores de apps de terceros, uno de los fines de la mayoría de estas apps es obtener dinero mediante anuncios o colaborar con los gobiernos para controlar a la población.

Clones de apps de Telegram con malware o funciones espía

Los estafadores y cibercriminales desarrollan su propia versión no oficial y intentan captar al máximo número de usuarios de Telegram con publicidad en canales grandes o usando bots.

Existen anuncios de apps no oficiales que tienen más de 13 millones de visitas como el de "Telegroom Plus" que se suelen reenviar por montones de grupos y canales para anunciarse.

El único propósito de estas apps es obtener toda la información que puedan sobre sus usuarios para después venderla o obtener sus claves para acceder a sus cuentas en otros servicios.

Los servidores de comando y control

De forma completamente remota gracias a los servidores de comando y control que usan los creadores de estás aplicaciones maliciosas pueden:

  • Forzarnos a unirnos a "X" canales y no dejarnos abandonar.
  • Pueden obligar a los usuarios a ver contenido específico.
  • Pueden obligar a los usuarios a enviar mensajes de anuncios a otros usuarios
  • Pueden hacer botnet con usuarios para propósitos de DDOS
  • Pueden enviar sms de spam desde nuestro móvil

Estas aplicaciones no oficiales invitan a los usuarios a deshabilitar la protección de Google Play Protect para poder usar la aplicación. (Si el usuario tiene activa la protección seguramente en la mayoría de los casos marcaría la app como malware o peligrosa).

Estos cibercriminales para ocultar más sus comunicaciones suelen mandar objectos o notificaciones push que solo pueda leer su aplicación, esto lo hacen para evitar que los investigadores puedan identificar de manera estática de qué es capaz el malware.

Tor para ocultar mucho más las comunicaciones

Para poder ocultar mucho más las comunicaciones los cibercriminales pueden usar servicios como Tor para ocultar sus comunicaciones con el servicio de comando y control.

En la siguiente imagen puedes ver que la aplicación BGram (anteriormente llamada Biftogram) tiene en su código un paquete llamado "BiforTor", en la actualidad se usa para la aplicación pueda usar Tor para saltarse la censura en los países donde las VPN o Proxys no terminan de funcionar.

Hasta el momento no podemos demostrar que tengan un servidor de comando y control, ni que distribuya malware. La única pega que le ponemos es que su código sigue sin ser open source y sigue sin cumplir con la licencia de Telegram Android debido a que usa su código de base.

Apps similares a BGram que incluyen soporte para TOR podrían añadir un servidor de comando y control para poder controlar cuentas de los usuarios.

Fuente: M4cr0s