Apps Falsas de Telegram infectan Android desde Sitios de Phishing

Si descargaste Telegram fuera de Play Store, podrías estar infectado. Investigadores de PreCrime Labs (parte de BforeAI) han detectado una masiva operación de malware dirigida a usuarios de Android, activa desde julio de 2025. El ataque utiliza nada menos que 607 dominios maliciosos que imitan páginas de descarga oficiales de Telegram para distribuir apps falsas cargadas de malware.

Estas webs están diseñadas para engañar a los usuarios usando técnicas como:

1. Typosquatting (dominios con errores tipográficos comunes)

2. Redirecciones con códigos QR

3. Páginas tipo blog optimizadas para SEO que aparentan ser legítimas

Todo esto con el objetivo de hacerte creer que estás descargando Telegram desde una fuente confiable… cuando en realidad estás dejando entrar malware a tu dispositivo.

Cómo las apps falsas de Telegram con malware están infectando dispositivos Android

Los atacantes están utilizando una mezcla de emails de phishing, códigos QR en redes sociales o apps de mensajería, y sitios web bien diseñados que parecen inocentes — incluso blogs con apariencia profesional.

Una vez que el usuario descarga uno de estos archivos APK (de entre 60 y 70 MB), lo que obtiene es una versión falsa de Telegram que se ve y funciona igual a la original, pero con un detalle oculto: está hecha para espiarte y darte problemas.

¿Qué hace esta app maliciosa?

Aunque parezca legítima, la app falsa en realidad:

1. Solicita permisos excesivos, como acceso total a tu almacenamiento, cámara y micrófono

2. Permite la ejecución remota de comandos, o sea, alguien puede controlar tu móvil desde otro lugar

3. Filtra tus datos personales (mensajes, archivos, credenciales) usando protocolos inseguros como HTTP o FTP

Es decir, estás usando lo que parece Telegram, pero en realidad estás entregando tu información personal a cibercriminales.

¿Cómo están engañando a los usuarios?

Los sitios web creados por los atacantes imitan a la perfección la identidad visual de Telegram. Usan los colores, logos y frases como: “Descarga del sitio web oficial de Paper Plane”

Además, estos sitios están cuidadosamente optimizados para aparecer en los resultados de búsqueda, especialmente cuando alguien busca términos como:

1. “Descargar Telegram APK”

2. “Telegram para Android sin Play Store”

3. “Última versión Telegram Android”

Esto significa que, si no prestas atención, podrías terminar en uno de estos sitios falsos sin darte cuenta.

Una página con diseño tipo blog distribuye un APK falso de Telegram que solicita permisos peligrosos para infectar el dispositivo.

Podría interesarte leer: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers

El malware usa una vieja vulnerabilidad de Android para colarse sin ser detectado

Uno de los trucos más peligrosos detrás de esta campaña es el uso de una antigua pero efectiva vulnerabilidad conocida como Janus (CVE-2017-13156). Esta falla afecta a los APK firmados con el esquema de firma v1 de Android (sí, el más antiguo), y permite inyectar código malicioso en una app legítima sin que se rompa la firma digital. ¿El resultado? Las verificaciones de seguridad no detectan nada sospechoso, porque la app aún parece "legal" en los ojos del sistema operativo.

Una vez instalado, este software malicioso puede hacer mucho más que solo espiarte. Aquí van algunas de sus capacidades más inquietantes:

1. Ejecutar comandos remotamente: se conecta con un servidor controlado por el atacante y sigue órdenes al instante.

2. Abusar de la API de MediaPlayer: lo que podría usarse para activar el micrófono o escuchar lo que sucede a tu alrededor.

3. Establecer conexiones permanentes (sockets): que permiten al atacante tener control en tiempo real de tu dispositivo, como si tuviera una puerta trasera siempre abierta.

Con este nivel de acceso, los atacantes pueden:

1. Robar archivos personales

2. Supervisar todo lo que haces en el teléfono

3. Lanzar nuevos ataques desde dentro, descargando más malware o apps secundarias

Firebase y scripts ocultos: la infraestructura detrás del ataque

Los investigadores también descubrieron que una versión anterior del malware se conectaba a un endpoint de Firebase: tmessages2[.]firebaseio[.]com.

Este punto ya fue desactivado, pero el riesgo no ha desaparecido. ¿Por qué? Porque si alguien vuelve a registrar un proyecto de Firebase con ese mismo identificador, los dispositivos infectados podrían reconectarse automáticamente sin que el usuario lo sepa. Es decir, el malware puede “volver a la vida” si se reactiva la infraestructura.

Además, hay otro elemento técnico inquietante: un script de rastreo malicioso alojado en ajs.jstelegramt[.]net, que se encargaba de:

1. Recolectar datos de huella digital del dispositivo y navegador

2. Enviar esa información a servidores controlados por los atacantes

3. Incluir código (aún no activo) que podría mostrar banners falsos de descarga dirigidos a usuarios Android

Este tipo de código es ideal para campañas de redireccionamiento, en las que el atacante puede lanzar anuncios falsos o llevar a los usuarios hacia nuevas apps maliciosas disfrazadas.

Lo que revelan los dominios usados por el malware de Telegram

Al analizar los 607 dominios utilizados para distribuir el malware disfrazado de Telegram, los investigadores notaron algo interesante: Los atacantes combinaron TLDs populares y confiables con extensiones más económicas y menos reguladas, logrando un equilibrio entre credibilidad y bajo costo. Así se reparten los dominios por TLD:

1. .com: 316 dominios

2. .top: 87

3. .xyz: 59

4. .online: 31

5. .site: 24

Este patrón sugiere una estrategia bien pensada: usar extensiones familiares como .com para generar confianza en el usuario, mientras se aprovechan TLDs más baratos para escalar la campaña sin gastar mucho.

La mayoría de estos dominios fueron registrados a través de Gname, un registrador con sede en Asia, y alojados en servidores en China, lo que complica cualquier intento de desactivarlos rápidamente por la vía legal.

Conoce más sobre: Descubriendo los canales en Telegram de la Dark Web

¿Qué puedes hacer para protegerte?

1. No instales APKs fuera de tiendas oficiales (Google Play, AppGallery, etc.)

2. Verifica las firmas de las apps si vas a instalar desde fuentes externas (aunque lo ideal es no hacerlo)

3. Mantén Android actualizado, especialmente si tu dispositivo es anterior a Android 8.0

4. Usa un antivirus móvil que analice tanto la instalación como el comportamiento de las apps

5. Desconfía de descargas que lleguen vía QR, correos, blogs o enlaces sospechosos

Conclusión

Este tipo de campañas demuestra cómo los atacantes están combinando técnicas tradicionales como el phishing con estrategias modernas de SEO y diseño web para parecer más creíbles que nunca. Y lo están haciendo a gran escala.

Si eres usuario de Android, la regla de oro es simple: Nunca descargues Telegram (ni ninguna app) desde sitios web no oficiales.