Злоумышленники перехватывают трафик Telegram в Иране

Сотрудники команды Cisco Talos зафиксировали ряд кампаний, направленных против пользователей популярного мессенджера Telegram и фотохостинга Instagram в Иране, в том числе с использованием BGP-перехвата трафика.

По данным исследователей, кампании начались в 2017 году и активны по сегодняшний день. В рамках атак злоумышленники создают приложения-клоны Telegram и Instagram, доступные для загрузки в неофициальных интернет-каталогах. Приложения собирают данные о списке контактов жертвы и сообщениях, а также информацию о сессиях и отправляют ее на управляющий сервер. Имея на руках эти сведения, преступники могут «полностью перехватить контроль над используемой учетной записью». Помимо указанной активности, фальшивые приложения не выполняют какие-либо другие вредоносные действия.

В числе других атак исследователи отметили создание ложных страниц авторизации, а также несколько случаев перехвата трафика пользователей Telegram. По их мнению, «это целенаправленная атака на сервисы Telegram в регионе». Кроме одинаковой целевой аудитории и применения фальшивых приложений Telegram и Instagram, специалисты не нашли связь между перечисленными кампаниями. Их расследование было сконцентрировано на Иране в связи с существующим запретом на использование Telegram в стране.

Источник: Securitylab