来源: https://www.nodeseek.com/post-745598-1
从 APKPure 下载的 Telegram 12.6.5 被重新签名打包,注入了名为 DataCollector 的间谍框架(classes3.dex,3000+行代码)。
后门可窃取:全部聊天记录(含历史消息)、通讯录、手机相册、文档文件、GPS 定位、SIM 卡信息。数据经 AES-GCM 加密后上传至 C2 服务器 38.190.225.166。
消息来源:https://x.com/EricParker/status/2058411298195661221
以前这apkpure好像就传出被植入 Triada 木马的事件,这次是把上架的 APP 替换为木马版本,属于更难发现的分发层攻击。由于 APKPure 不像 Google
Play 有严格的自动化安全扫描,第三方重打包版本更容易混入 !
来源2 : https://x.com/landiantech/status/2058715170021548068
虎牙旗下安卓应用下载站 #APKPure 被发现分发带有间谍框架的 #Telegram 安装包,间谍框架会收集用户的聊天记录 (包括历史聊天记录)、通讯录、相册、文件、GPS 位置、SIM 卡信息。开发者南宫雪珊注意到这些安装包签名不正确,安全研究员 Eric 逆向后发现安装包包含间谍框架
习家平语 :
国外的都用 googleplay 安装更新应用,只有国内要上 apkpure 这种第三方商店下载 、侧载安装这种境外非法apk,明摆着就是给国人下套 ,真的是到哪都逃不出习主席的掌心啊