Pesquisadores identificaram uma campanha de phishing que explora fluxos legítimos de autenticação do Telegram para obter sessões autorizadas e persistentes sem roubo direto de senhas.
O que foi observado
Analistas da Cyfirma relataram a reemergência de uma operação que não replica páginas de login para colher credenciais, mas que integra-se à infraestrutura de autenticação do Telegram. Em vez de coletar senhas, os atacantes induzem vítimas a aprovar solicitações de autorização legítimas no aplicativo, vinculando sessões ao dispositivo do invasor e obtendo acesso imediato e persistente à conta.
Vetor e técnica
As páginas de phishing usadas no ataque apresentam interfaces que suportam tanto escaneamento de QR code quanto entrada manual de número de telefone. Essas interfaces são hospedadas em domínios efêmeros com aparência semelhante à marca Telegram e carregam instruções de execução em tempo de execução a partir de servidores de comando, segundo a análise.
A resposta JSON recebida pelo site malicioso contém credenciais da API do Telegram (por exemplo, api_id e api_hash) e dados localizados para renderizar a interface de login, permitindo que a ação decisiva seja transferida para a notificação interna do aplicativo móvel. Ao clicar em “Yes” no prompt dentro do app, a vítima está, na prática, autorizando o acesso do invasor ao dispositivo.
Evidências e limites
A Cyfirma descreve o uso de infraestrutura dinâmica e instruções cross-origin para evitar detecções; não há, contudo, menção a exploração de vulnerabilidade no próprio Telegram ou a comprometimento direto das contas de servidores do provedor. As conclusões da análise indicam engenharia social sofisticada apoiada por backend configurável para rotação rápida de domínios e comandos.
Impacto e riscos operacionais
Uma vez criada a sessão maliciosa, o invasor pode monitorar comunicações, enviar mensagens e realizar ataques secundários contra contatos da vítima sem acionar avisos tradicionais de login suspeito. Isso reduz janelas de detecção baseadas em anomalias de autenticação e aumenta o dano potencial, especialmente em contas com contatos sensíveis ou em funções de alto privilégio.
Mitigações práticas
- Nunca aprove um pedido de autorização no app Telegram que você não tenha iniciado pessoalmente.
- Evite escanear QR codes provenientes de sites desconhecidos ou efêmeros.
- Audite sessões ativas em Telegram > Settings > Devices e encerre sessões que não reconheça.
- Habilite Two‑Step Verification (senha adicional) para dificultar criação de sessões persistentes mesmo com aprovação inadvertida de um prompt.
Recomendações para defenders
Equipes de segurança devem incorporar detecção de abuso de OAuth/authorization flows, monitorar redirecionamentos e domínios relacionados a fluxos de login, e treinar usuários técnicos para não transferirem decisões de autenticação para prompts externos. Quando possível, bloquear domínios efêmeros conhecidos e aplicar inspeção de tráfego para identificar pedidos de api_id/api_hash vindos de origens suspeitas.
O que falta
Os relatórios públicos não detalham números de vítimas nem escopo geográfico da campanha. Não há indicação de comprometimento de infraestrutura do Telegram; portanto, trata‑se de um abuso do fluxo de autorização apoiado por engenharia social e infraestrutura rotativa.
Fonte da investigação: Cyfirma, conforme reportado pelo Cyber Security News.