O Telegram foi vítima de cópias falsas que tem infestaram a Play Store com versões fraudulentas cheias de vírus, especificamente, spyware, em versões asiáticas (em especial, em chinês e destinadas à minoria étnica uigur) do aplicativo. Conforme descoberto pelo pesquisador de segurança cibernética da Kaspersky, Igor Golovin, hackers criaram esses aplicativos especificamente para coletar informações confidenciais do usuário, como mensagens, listas de contatos e outros dados.

Além disso, o facto de estas aplicações terem como alvo específico os utilizadores de língua chinesa e uigures traz um preocupação adicional de estar potencialmente ligada à vigilância estatal.

Os apps se apresentavam como versões mais rápidas e leves do Telegram, imitando sua interface e funcionalidades. Mais de 60 mil usuários baixaram os aplicativos, trazendo milhares de potenciais vítimas para os hackers.

O relatório de Golovin aponta que eles contêm um rótulo adicional, ‘com.wsys’, que envia cópias de todas as mensagens e informações pessoais do usuário para o servidor de comando e controle (C2) da operadora, localizado em “sg[.]telegrnm[.]org.” O aplicativo ainda monitora o nome de usuário, ID e lista de contatos da vítima em busca de quaisquer alterações, transmitindo prontamente as informações atualizadas aos atores da ameaça quando detectada.

Depois da descoberta, o Google já removeu esses aplicativos da Play Store. Este incidente ocorre poucos dias depois de um relatório da ESET destacar a prevalência da campanha de malware BadBazaar, que explorou uma versão nociva do Telegram para coletar backups de bate-papo.