Forscher des IT-Security-Spezialisten Eset haben eine bisher unbekannte, schadhafte Version der legitimen Telegram-App entdeckt. Laut den Experten stecke die APT-Gruppe Strongpity dahinter. Deren Strongpity-Backdoor verfüge über verschiedene Spionagefunktionen: Ihre elf dynamisch ausgelösten Module seien unter anderem für die Aufzeichnung von Telefongesprächen sowie das Sammeln von SMS-Nachrichten, Anrufprotokollen und Kontaktlisten verantwortlich, heisst es.
Wenn betroffene Android-Nutzer der bösartigen App Zugriff auf Benachrichtigungen und Dienste gewähren, habe die Anwendung auch Zugang zu eingehenden Benachrichtigungen von 17 anderen Apps wie Viber, Skype, Gmail, Messenger und Tinder. Hierdurch könne das Schadprogramm die Chat-Kommunikation von anderen Anwendungen exfiltrieren. Die Eset-Experten vermuten, dass die Strongpity-Backdoor für zielgerichtete Angriffe zum Einsatz kommen soll. Ihre Analyse haben sie auf Welivesecurity veröffentlicht.
Auf einer Webseitenkopie des kostenlosen Webcam-Chats Shagle war die bösartige Version der Telegram-App demnach zum Download verfügbar. Diese trojanisierte Anwendung sei nie im Google Play Store verfügbar gewesen.
Der bösartige Code, seine Funktionalität, die Klassennamen und das Zertifikat, mit dem die APK-Datei signiert wurde, seien identisch mit denen einer vorangegangenen Kampagne. Daher gehe Eset mit grosser Sicherheit davon aus, dass diese Operation zur Strongpity-Gruppe gehöre. Die Code-Analyse habe ergeben, dass die Backdoor modular aufgebaut sei und zusätzliche binäre Module vom Command&Control-Server heruntergeladen würden. Das bedeute, dass die Anzahl und der Typ der verwendeten Module jederzeit geändert werden könne, um sie an die Anforderungen der Kampagne anzupassen, wenn sie von der Strongpity-Gruppe betrieben werde.
Die bösartige Version verwendet Eset zufolge denselben Paketnamen wie die legitime Telegram-App. Paketnamen dienen dazu, jede Android-App eindeutig zu identifizieren. Daher müssen sie einzigartig auf dem Android-Gerät sein. Das bedeutet: Wenn die offizielle Telegram-App bereits auf dem Gerät eines potenziellen Opfers installiert ist, dann kann diese infizierte Version nicht installiert werden. "Das kann zweierlei bedeuten: Entweder kommuniziert der Angreifer zuerst mit potenziellen Opfern und drängt sie, Telegram von ihren Geräten zu deinstallieren, falls es bereits installiert ist. Oder die Kampagne konzentriert sich auf Länder, in denen Telegram nur selten zur Kommunikation genutzt wird", sagt Eset-Forscher Lukás Stefanko, der die verseuchte Telegram-App analysiert hat.
"Während unserer Untersuchung war die analysierte Version der Malware nicht mehr aktiv. Die Backdoor-Funktionalität liess sich nicht mehr erfolgreich installieren und auslösen. Das kann sich aber jederzeit ändern, wenn der Bedrohungsakteur beschliesst, die bösartige App zu aktualisieren", fügt der Eset-Forscher hinzu.
Der Online-Stellenmarkt für ICT Professionals