多名安全研究员近日发出紧急警告,知名第三方 Android 应用商店 APKPure 正在分发包含间谍软件的恶意 Telegram 安装包。该版本被植入了名为 “DataCollector” 的框架,可全方位窃取用户的聊天记录、相册及定位信息。由于 APKPure 目前由虎牙控股,此事件引发了行业对该平台供应链安全的巨大质疑。
开发者与安全专家集体示警
近日,Android 开发圈与安全研究领域接连爆出猛料。开发者南宫雪珊在其电报频道 vvb2060_Channel 中明确指出,APKPure 平台分发的 Telegram 相关应用存在严重合规与安全问题。经过对比发现,该平台上的 Telegram 商店版 APK 签名与官方不符,而 Telegram X 的包名甚至直接出现了错误。更严重的是,虽然 Web 版目前看似正常,但其版本更新明显滞后,极易让用户处于旧漏洞的威胁之下。
随后,知名逆向工程师 Eric Parker 也在社交平台 X 上发布了深度分析视频 查看视频详情,确认 APKPure 正在分发一个被高度定制化的恶意 Telegram 版本。他警告所有用户,应立即停止通过 APKPure 下载任何 APK 文件,并卸载通过该渠道安装的 Telegram 客户端。
技术拆解:潜伏在 classes3.dex 中的 DataCollector
根据安全专家的逆向分析,从 APKPure 下载的 Telegram 12.6.5 版本已被重新签名打包。技术细节显示,攻击者在 APK 中注入了一个名为 DataCollector 的间谍框架。该框架隐藏在 classes3.dex 文件中,代码量高达 3000 多行,其精密程度远超一般的广告脚本。
这个间谍后门具备极高的权限和极广的抓取范围,其具体行为包括但不限于:
- 全量聊天记录窃取: 能够读取并导出包括历史消息在内的所有对话内容。
- 敏感隐私抓取: 强制读取手机通讯录、读取手机相册中的所有图像。
- 文件与定位监控: 扫描 SD 卡中的文档文件,并实时追踪 GPS 定位及获取 SIM 卡敏感信息。
所有的敏感数据在本地通过 AES-GCM 算法加密后,会被上传至位于 38.190.225.166 的远程 C2 服务器。这种加密手段使得常规的流量检测设备很难在第一时间识别出泄露的数据内容,具有极强的隐蔽性。
收购背后的安全信任危机
这起事件之所以在业界引发巨大震动,除了技术破坏力强之外,还涉及到了 APKPure 的背景更迭。公开资料显示,虎牙在 2023 年以约 8100 万美元的现金对价,从腾讯手中 100% 收购了 APKPure。
作为曾经全球最大的第三方 Android 应用分发平台之一,APKPure 一向以“搬运 Google Play 官方应用”著称。然而,在虎牙入主后,该平台不仅没有加强审核,反而出现了这种极其恶劣的“二次打包”注入后门事件。这让外界不得不怀疑,虎牙在完成收购后,对 APKPure 的安全审计流程是否存在真空地带,亦或是内部审核权限被非法滥用。
给用户的安全建议
对于习惯于使用第三方商店的用户,这无疑是一次沉重的警示。安全专家建议采取以下行动:
- 立即卸载: 如果你最近通过 APKPure 安装或更新过 Telegram,请务必立即备份聊天数据(通过官方桌面端导出)并彻底删除手机应用。
- 清理残留: 检查存储根目录是否存在异常的隐藏文件夹,或可疑的
.dex缓存。 - 回归官方渠道: 尽可能通过 Google Play 商店或 Telegram 官网 下载 APK。
- 启用二次验证: 虽然间谍软件主要通过本地权限读取数据,但开启 Telegram 的两步验证(2FA)仍是保护账户不被接管的最后一道防线。
目前的迹象表明,APKPure 的安全过滤机制已经失效。在官方给出明确的解释和整改措施之前,建议开发者和普通用户将其列入“不可信”黑名单。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️