Telegram: Hinterhältiger Klon infiltriert Geräte mit versteckter Malware
In der Welt der Apps verbreiten sich modifizierte Versionen von beliebten mobilen Anwendungen stark. Diese Anwendungen locken möglicherweise mit zusätzlichen Funktionen, reduzierten Preisen oder einer größeren Verfügbarkeit in verschiedenen Ländern im Vergleich zur Originalanwendung.
Leichtsinnige Benutzer installieren sie oft über inoffizielle externe Anwendungsspeicher, ohne zu wissen, welche Risiken dies birgt. Aktuell sorgt etwa ein bösartiger Telegram-Klon für unangenehme Überraschungen.
Kürzlich entdeckte das Check Point Mobile Research Team eine modifizierte Version der beliebten Android-Anwendung Telegram Messenger. Obwohl sie auf den ersten Blick unschuldig aussieht, birgt diese modifizierte Version bösartigen Code, der mit dem Trojaner Triada verbunden ist. Triada, erstmals 2016 entdeckt, ist ein modularer Android-Backdoor-Trojaner, der Administratorrechte erhält, um andere Malware herunterzuladen.
Der Trojaner tarnt sich perfekt als Telegram Messenger Version 9.2.1 und verwendet den gleichen Paketnamen (org.telegram.messenger) und dasselbe Symbol wie die echte Telegram-Anwendung. Beim Starten der App wird dem Benutzer der vertraute Telegram-Authentifizierungsbildschirm angezeigt, auf dem er aufgefordert wird, die Telefonnummer einzugeben und der App Telefonrechte zu gewähren. Da dieser Ablauf dem eigentlichen Authentifizierungsprozess von Telegram ähnelt, hat der Benutzer keinen Grund zu vermuten, dass etwas Ungewöhnliches geschieht.
Hinter den Kulissen führt die App bösartigen Code aus, der als interne Anwendungsaktualisierung getarnt ist. Die Malware sammelt Geräteinformationen, richtet eine Kommunikationsverbindung ein, lädt eine Konfigurationsdatei herunter und wartet auf die Übermittlung von schädlichen Daten vom Remote-Server. Sobald die Nutzdaten entschlüsselt und gestartet sind, erhält Triada Systemprivilegien, um sich in andere Prozesse einzuschleusen und bösartige Aktionen durchzuführen.
Frühere Untersuchungen von Triada haben gezeigt, dass er in der Lage ist, verschiedene bösartige Aktivitäten durchzuführen. Dazu gehört das Anmelden des Benutzers für kostenpflichtige Abonnements, das Durchführen von In-App-Käufen unter Verwendung von SMS- und Telefonnummern des Benutzers, das Anzeigen von Werbung (einschließlich unsichtbarer, im Hintergrund laufender Werbung) sowie der Diebstahl von Anmeldedaten und anderen Benutzer- und Geräteinformationen.
Um Ihr Gerät vor Trojaner-Malware zu schützen, empfehlen die Check Point Forscher folgende Maßnahmen:
- Laden Sie Apps immer von vertrauenswürdigen Quellen herunter, sei es von offiziellen Websites oder offiziellen App-Stores und Verzeichnissen.
- Überprüfen Sie vor dem Herunterladen den Autor und Ersteller der App. Lesen Sie die Kommentare und Reaktionen anderer Nutzer.
- Achten Sie darauf, welche Berechtigungen die installierte App fordert, und prüfen Sie, ob sie tatsächlich für die Funktion der App erforderlich sind.
Weitere Details und Informationen zu Indicators of Compromise (IoC) gibt es im Check Point Blog.
Die von Check Point entdeckte Malware tarnt sich als Telegram-Messenger-App.
