Gefälschte Telegram-App spioniert unter Android
IT-Forscher von Eset haben eine gefälschte Telegram-App aufgespürt, die ihre Opfer umfassend ausspioniert. Sie wird jedoch außerhalb von Google Play verteilt.
(Bild: Justlight/Shutterstock.com)
Die IT-Sicherheitsforscher von Eset haben eine trojanisierte Telegram-Version für das Android-Betriebssystem entdeckt, die diverse weitere Chat- und Social-Apps ihrer Opfer ausspionieren kann. Die Verteilung erfolgt nicht via Google Play Store, sondern im konkreten Beispiel über gefälschte Webseiten etwa des Webcam-Chat-Dienstes Shagle.
Als Drahtzieher hat Eset die Cybergang StrongPity ausgemacht. Die an die Open-Source-Software Telegram geflickte Android-Malware besitze elf dynamisch gestartete Module. Die sind unter anderem für die Aufzeichnung von Telefongesprächen sowie das Sammeln von SMS-Nachrichten, Anrufprotokollen und Kontaktlisten verantwortlich. Wenn betroffene Android-Nutzer der bösartigen App die angefragten Zugriffsrechte auf Benachrichtigungen und Dienste gewähren, erhält die Anwendung auch Zugang zu eingehenden Benachrichtigungen von 17 weiteren Apps wie Gmail, Instagram, Messenger, Skype, Tinder, Twitter oder Viber.
Umfassendes Aushorchen
Von diesen Apps kann die trojanisierte Telegram-Version die Chats und Kommunikation an die StrongPity-Server ausliefern. Auf die Gruppe deuten Indizien wie der Schadcode, dessen Funktionen und Klassennamen sowie das Zertifikat, mit dem die APK-Datei signiert wurde. Die seien identisch mit denen einer vorangegangenen Kampagne von StrongPity.
Die Analyse des Codes durch die IT-Forscher ergab, dass die Backdoor einerseits modular aufgebaut ist. Andererseits kann sie zusätzliche Module vom Command-and-Control-Server herunterladen. Dadurch könnten sowohl Anzahl als auch der Typ der von den Cyberkriminellen eingesetzten Module jederzeit geändert werden. In einer Malware-Kampagne lassen sie sich so flexibel anpassen.
Da die bösartige Version denselben Paketnamen wie die legitime Telegram-App verwendet, kann diese infizierte Version nicht installiert werden, sofern bereits Telegram auf dem Smartphone installiert wurde. Eset zufolge könne das zweierlei bedeuten: Entweder kommuniziere der Angreifer zuerst mit potenziellen Opfern und dränge sie, Telegram von ihren Geräten zu deinstallieren, falls es bereits installiert ist. Oder die Kampagne konzentriere sich auf Länder, in denen Telegram nur selten zur Kommunikation genutzt werde.
Auf der gefälschten Shagle-Webseite bieten die Cyberkriminellen Esets Analyse zufolge die trojanisierte App als Shagle-Android-App an – diese gebe es jedoch gar nicht. Derzeit funktioniere die App nicht mehr, da sie einen Beispiel-API-Key anstatt eines eigenen Keys verwendet. Dies könnte StrongPity jederzeit mit aktualisierten Malware-Paketen ändern, was bisher aber nicht passiert ist.
Am Ende der Analyse listet Eset noch Indicators of Compromise auf, anhand derer sich die Schadsoftware und Komponenten davon identifizieren lassen. Der Schutz vor diesem Trojaner ist bislang relativ einfach: Keine Apps installieren, die außerhalb des Google Play Stores angeboten werden, schützt vor der Infektion.
Allerdings liefert das keinen hundertprozentigen Schutz. Immer wieder landen auch bösartige Apps in Google Play. So etwa die kürzlich bekannt gewordene Android-Malware "Godfather".
(dmk)
