Spyware menyamar sebagai versi Telegram yang dimodifikasi ditemukan di Google Play Store. Aplikasi palsu ini dirancang untuk mengambil informasi sensitif dari perangkat Android yang disusupi. Menurut peneliti keamanan Kaspersky Igor Golovin, aplikasi tersebut hadir dengan fitur jahat untuk mengumpulkan dan mengekstrak nama, ID pengguna, kontak, nomor telepon, dan pesan obrolan ke server yang dikendalikan aktor. Yang mengerikan aplikasi-aplikasi tersebut telah diunduh secara kolektif jutaan kali sebelum akhirnya dihapus dari Play Store oleh Google.

Perlu dicatat bahwa nama paket yang terkait dengan Telegram versi Play Store adalah "org.telegram.messenger", sedangkan nama paket untuk file APK yang diunduh langsung dari situs web Telegram adalah "org.telegram.messenger.web".

Oleh karena itu, penggunaan "wab", "wcb", dan "wob" untuk nama paket file berbahaya menyoroti ketergantungan pelaku ancaman pada teknik kesalahan ketik agar terlihat sebagai aplikasi Telegram yang sah dan tidak terdeteksi radar Google.

Ketika pertama kali lihat, aplikasi-aplikasi ini tampak seperti klon Telegram lengkap dengan antarmuka yang dilokalkan.

"Semuanya terlihat dan berfungsi hampir sama dengan aslinya, namun ada perbedaan kecil yang luput dari perhatian moderator Google Play: versi yang terinfeksi memiliki modul tambahan. Pengungkapan ini terjadi beberapa hari setelah ESET mengungkap kampanye malware BadBazaar yang menargetkan pasar aplikasi resmi yang memanfaatkan versi jahat Telegram untuk mengumpulkan cadangan obrolan.

Aplikasi peniru Telegram dan WhatsApp serupa ditemukan oleh perusahaan keamanan siber Slovakia yang dilengkapi dengan fungsi clipper untuk mencegat dan mengubah alamat dompet dalam pesan obrolan dan mengarahkan transfer mata uang kripto ke dompet milik hacker