ESET-Forscher haben eine aktive StrongPity-Kampagne aufgedeckt, die eine gefälschte Version der Android Telegram-App mit einem Trojaner über eine veränderte Shagle Site verbreitet.

Telegram wird missbraucht. ESET Forscher haben eine bisher unbekannte, schadhafte Version der legitimen Telegram-App entdeckt. Hinter dieser Kampagne haben die Experten die APT-Gruppe StrongPity identifiziert.  Auf einer Webseitenkopie des kostenlosen Webcam-Chats Shagle war die bösartige Version der Telegram-App zum Download verfügbar. Diese trojanisierte Anwendung war nie im Google Play Store verfügbar.

Deren StrongPity-Backdoor verfügt über verschiedene Spionagefunktionen: Ihre elf dynamisch ausgelösten Module sind unter anderem für die Aufzeichnung von Telefongesprächen sowie das Sammeln von SMS-Nachrichten, Anrufprotokollen und Kontaktlisten verantwortlich.

Wenn betroffene Android-Nutzer der bösartigen App Zugriff auf Benachrichtigungen und Dienste gewähren, hat die Anwendung auch Zugang zu eingehenden Benachrichtigungen von 17 anderen Apps wie Viber, Skype, Gmail, Messenger und Tinder. Hierdurch kann das Schadprogramm die Chat-Kommunikation von anderen Anwendungen exfiltrieren. Die ESET Experten vermuten, dass die StrongPity-Backdoor für zielgerichtete Angriffe zum Einsatz kommen soll.

Indizien deuten auf StrongPity-Gruppe

Der bösartige Code, seine Funktionalität, die Klassennamen und das Zertifikat, mit dem die APK-Datei signiert wurde, sind identisch mit denen einer vorangegangenen Kampagne.  Daher geht ESET mit großer Sicherheit davon aus, dass diese Operation zur StrongPity-Gruppe gehört.

Die Code-Analyse ergab, dass die Backdoor modular aufgebaut ist und zusätzliche binäre Module vom Command&Control-Server heruntergeladen werden. Das bedeutet, dass die Anzahl und der Typ der verwendeten Module jederzeit geändert werden können, um sie an die Anforderungen der Kampagne anzupassen, wenn sie von der StrongPity-Gruppe betrieben wird.

Die bösartige Version verwendet denselben Paketnamen wie die legitime Telegram-App. Paketnamen dienen dazu, jede Android-App eindeutig zu identifizieren. Daher müssen sie einzigartig auf dem Android-Gerät sein. Das bedeutet: Wenn die offizielle Telegram-App bereits auf dem Gerät eines potenziellen Opfers installiert ist, dann kann diese infizierte Version nicht installiert werden.

„Das kann zweierlei bedeuten: Entweder kommuniziert der Angreifer zuerst mit potenziellen Opfern und drängt sie, Telegram von ihren Geräten zu deinstallieren, falls es bereits installiert ist. Oder die Kampagne konzentriert sich auf Länder, in denen Telegram nur selten zur Kommunikation genutzt wird“, sagt ESET-Forscher Lukáš Štefanko, der die verseuchte Telegram-App analysiert hat.

„Während unserer Untersuchung war die analysierte Version der Malware nicht mehr aktiv. Die Backdoor-Funktionalität ließ sich nicht mehr erfolgreich installieren und auslösen. Das kann sich aber jederzeit ändern, wenn der Bedrohungsakteur beschließt, die bösartige App zu aktualisieren“, fügt ESET-Forscher Lukáš Štefanko hinzu.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner