黑客伪造盗版Telegram，并购买了607个高仿域名

安全 PRO 稿源：黎多鱼 2025-07-18 13:23

近期，一波针对安卓用户的恶意活动浮出水面——607个仿冒Telegram的恶意域名，正通过高仿页面传播恶意应用。BforeAI旗下PreCrime Labs的研究，揭开了这场攻击的技术细节与传播路径。

仿冒应用：表面“合规”，暗藏恶意

攻击者通过链接或二维码，诱导用户下载两款大小为60MB/70MB的APK。这些应用表面与正版Telegram无异，实则会悄悄获取超额权限，并支持远程命令执行。

技术上，恶意APK采用旧版v1签名方案，如利用Janus漏洞（CVE-2017-13156）——该漏洞影响安卓5.0至8.0版本，可让攻击者在不改变签名的情况下植入恶意代码，轻松绕过检测。

钓鱼网站常伪装成个人博客或非官方粉丝页，典型如zifeiji.asia：复用Telegram图标、配色与下载按钮，页面标题塞满“纸飞机官网下载”等中文SEO关键词，既提升搜索排名，又掩盖恶意意图。

恶意APK不仅依赖HTTP、FTP明文协议传输数据，还能访问外部存储、接收远程命令；基础设施中嵌入ajs.js（托管于telegramt.net）等跟踪脚本，收集设备信息以提升安装率。

607个恶意域名的顶级域分布清晰：

.com: 316 （占比超50%，强化可信度） .top: 87 .xyz: 59 .online: 31 .site: 24

这些域名多含teleqram“telegramdl”等仿冒关键词，通过Gname注册，托管于中国地区。

研究发现，恶意APK关联已停用的Firebase数据库tmessages2.firebaseio.com。若新攻击者注册同名项目，旧版恶意软件可自动连接新数据库，让攻击持续生效。

MITRE攻击技术	说明
T1456（钓鱼）	仿冒Telegram页面+中文SEO关键词，诱导下载恶意APK，属“仿冒应用下载诱导”。
T1071.001（应用层协议：HTTP/FTP）	恶意APK用HTTP/FTP明文传输数据，匹配“应用层协议传恶意数据”特征。
T1068（权限提升）	超额获取权限扩大控制范围，属恶意软件权限提升技术。
T1210（远程命令执行）	支持远程指令操控设备，符合“远程控制受妥协设备”特征。
T1583.001（恶意域名注册）	注册607个仿冒域名（如teleqram）托管钓鱼页，属“相似域名支撑攻击”。
T1027.001（混淆文件：签名欺骗）	借Janus漏洞实现签名不变植入恶意代码，逃避检测。