Home » News » Cybersecurity » Telegram: Hinterhältiger Klon infiltriert Geräte mit versteckter Malware

Telegram: Hinterhältiger Klon infiltriert Geräte mit versteckter Malware

In der Welt der Apps verbreiten sich modifizierte Versionen von beliebten mobilen Anwendungen stark. Diese Anwendungen locken möglicherweise mit zusätzlichen Funktionen, reduzierten Preisen oder einer größeren Verfügbarkeit in verschiedenen Ländern im Vergleich zur Originalanwendung.

1 Min. Lesezeit
Eine Hand hält ein Smartphone, auf dem ein Ordner „Soziale Netzwerke“ mit dem Telegram-App-Symbol zu sehen ist. Im Hintergrund zeigt ein Bildschirm über dem Telegram-Logo ein rotes Verbotssymbol, das auf einen Telegram: Hinterhältiger Klon hindeutet, der sich direkt vor unseren Augen verbirgt.
Foto: ©AdobeStock/lumenphotos

Leichtsinnige Benutzer installieren sie oft über inoffizielle externe Anwendungsspeicher, ohne zu wissen, welche Risiken dies birgt. Aktuell sorgt etwa ein bösartiger Telegram-Klon für unangenehme Überraschungen.

Kürzlich entdeckte das Check Point Mobile Research Team eine modifizierte Version der beliebten Android-Anwendung Telegram Messenger. Obwohl sie auf den ersten Blick unschuldig aussieht, birgt diese modifizierte Version bösartigen Code, der mit dem Trojaner Triada verbunden ist. Triada, erstmals 2016 entdeckt, ist ein modularer Android-Backdoor-Trojaner, der Administratorrechte erhält, um andere Malware herunterzuladen.

Der Trojaner tarnt sich perfekt als Telegram Messenger Version 9.2.1 und verwendet den gleichen Paketnamen (org.telegram.messenger) und dasselbe Symbol wie die echte Telegram-Anwendung. Beim Starten der App wird dem Benutzer der vertraute Telegram-Authentifizierungsbildschirm angezeigt, auf dem er aufgefordert wird, die Telefonnummer einzugeben und der App Telefonrechte zu gewähren. Da dieser Ablauf dem eigentlichen Authentifizierungsprozess von Telegram ähnelt, hat der Benutzer keinen Grund zu vermuten, dass etwas Ungewöhnliches geschieht.

Hinter den Kulissen führt die App bösartigen Code aus, der als interne Anwendungsaktualisierung getarnt ist. Die Malware sammelt Geräteinformationen, richtet eine Kommunikationsverbindung ein, lädt eine Konfigurationsdatei herunter und wartet auf die Übermittlung von schädlichen Daten vom Remote-Server. Sobald die Nutzdaten entschlüsselt und gestartet sind, erhält Triada Systemprivilegien, um sich in andere Prozesse einzuschleusen und bösartige Aktionen durchzuführen.

Frühere Untersuchungen von Triada haben gezeigt, dass er in der Lage ist, verschiedene bösartige Aktivitäten durchzuführen. Dazu gehört das Anmelden des Benutzers für kostenpflichtige Abonnements, das Durchführen von In-App-Käufen unter Verwendung von SMS- und Telefonnummern des Benutzers, das Anzeigen von Werbung (einschließlich unsichtbarer, im Hintergrund laufender Werbung) sowie der Diebstahl von Anmeldedaten und anderen Benutzer- und Geräteinformationen.

Um Ihr Gerät vor Trojaner-Malware zu schützen, empfehlen die Check Point Forscher folgende Maßnahmen:

  • Laden Sie Apps immer von vertrauenswürdigen Quellen herunter, sei es von offiziellen Websites oder offiziellen App-Stores und Verzeichnissen.
  • Überprüfen Sie vor dem Herunterladen den Autor und Ersteller der App. Lesen Sie die Kommentare und Reaktionen anderer Nutzer.
  • Achten Sie darauf, welche Berechtigungen die installierte App fordert, und prüfen Sie, ob sie tatsächlich für die Funktion der App erforderlich sind.

Weitere Details und Informationen zu Indicators of Compromise (IoC) gibt es im Check Point Blog.

 

 

Eine Reihe von Smartphone-Bildschirmen zeigt den Installationsprozess von Telegram: Hinterhältiger Klon. Auf den Bildschirmen werden die Eingabe der Telefonnummer, eine Anfrage für SMS-Zugriff, eine Anfrage für den Zugriff auf das Anrufprotokoll und Berechtigungen zum Tätigen von Telefonanrufen angezeigt.
Quelle: Check Point

Die von Check Point entdeckte Malware tarnt sich als Telegram-Messenger-App.

Andere interessante News

Gehacktes System mit Totenkopf

Ransomware: Weniger Angriffe, aber mit höherer Präzision

Ransomware bleibt ein drängendes Thema – auch wenn die Zahl der registrierten Angriffe sinkt. Pünktlich zum internationalen Ransomware Day am 12. Mai wurden neue Zahlen veröffentli...

Phishing-Kampagne

Interne Kommunikation nachahmen: Was Phishing-Kampagnen erfolgreich macht

Wenn die Mail scheinbar vom Chef kommt oder ein „wichtiger Hinweis der IT“ im Postfach landet, steigt die Klickwahrscheinlichkeit dramatisch: Laut einem neuen Phishing Report ziele...

AI-Assistent schwebt über einer Hand

Welche KI-Agenten in der Cybersicherheit hilfreich sind

Ob Marketing, Support oder Logistik – KI-Agenten erobern aktuell fast jede Branche. Auch in der Cybersicherheit gewinnen sie rasant an Bedeutung: Als autonome, ergebnisorientierte ...