Theo The Hacker News, phần mềm gián điệp giả mạo phiên bản sửa đổi của Telegram đã được phát hiện trong cửa hàng Google Play, chúng được phát triển để thu thập thông tin từ các thiết bị Android bị xâm nhập.
Igor Golovin, chuyên gia bảo mật của Kaspersky cho biết các malware này có các tính năng thu thập và lọc tên, ID người dùng, danh bạ, số điện thoại và tin nhắn rồi gửi đến máy chủ do tin tặc kiểm soát. Hoạt động này đã được công ty đặt tên mã là Evil Telegram. Các ứng dụng này đã được tải xuống tổng cộng hàng triệu lần trước khi bị Google gỡ xuống.
Đáng chú ý là tên gói được liên kết với phiên bản Play Store là "org.telegram.messenger", trong khi tên gói cho tệp APK được tải xuống từ website là "org.telegram.messenger.web". Còn malware lại dùng các đuôi là "wab", "wcb" và "wob" nhằm tạo sự nhầm lẫn để mạo danh ứng dụng Telegram hợp pháp.
Kaspersky cho biết thoạt đầu những ứng dụng này dường như là bản sao hoàn chỉnh của ứng dụng nhắn tin bảo mật với giao diện được thay đổi phù hợp từng quốc gia. Nhưng có một khác biệt nhỏ mà người kiểm duyệt Google Play không chú ý là các phiên bản bị nhiễm chứa một mô-đun bổ sung
Công bố này được đưa ra vài ngày sau khi ESET cho biết chiến dịch phần mềm độc hại BadBazaar lợi dụng phiên bản lừa đảo của Telegram để tích lũy các bản sao lưu tin nhắn. Các ứng dụng bắt chước Telegram và WhatsApp đã bị công ty an ninh mạng Slovakia phát hiện vào tháng 3/2023, được trang bị chức năng clipper để chặn và sửa đổi địa chỉ ví trong tin nhắn và chuyển hướng chuyển tiền điện tử sang ví do tin tặc kiểm soát.