Hacker haben die Telegram-App gefälscht, um Spyware zu verbreiten

Last updated 4. Dezember 2022

Inhalt

Schädliche Software kann Benachrichtigungen von in Geräten integrierten Sicherheitssystemen deaktivieren.

Ausgehend von einer wenig bekannten Malware haben Sicherheitsforscher von ESET neue Android-Spyware entdeckt, die über gefälschte Messaging-Apps wie Threema, Telegram und WeMessage verbreitet wird.

Die Malware stammt von APT-C-23, einer Gruppe erfahrener Hacker, die seit Juli 2015 Spionagekampagnen gegen Militär- und Bildungseinrichtungen durchführen.

Die aktualisierte Version, die Anfang dieses Jahres entdeckt wurde, zeigt eine beeindruckende Reihe neuer Funktionen, die es Spyware unter anderem ermöglichen, Benachrichtigungen von Sicherheitssystemen zu verwerfen, die auf Samsung-, Xiaomi- und Huawei-Geräten ausgeführt werden, und somit unentdeckt ausgeführt werden können.

Verstecken in gefälschten Apps

Im April 2020 twitterten die Sicherheitsforscher des MalwareHunterTeams über Android -Spyware mit einer sehr niedrigen Erkennungsrate auf VirusTotal. Nach der Untersuchung der Probe stellten die ESET -Forscher fest, dass sie Teil einer Malware-Suite war, die von APT-C-23-Angreifern verwendet wurde.

Ungefähr zwei Monate später, im Juni, entdeckte das MalwareHunterTeam eine neue Probe derselben Malware, die in der Telegram-Messenger-Installationsdatei versteckt war, die bei DigitalApps, einem inoffiziellen Android-App-Store, erhältlich ist.

Da ihre Sicherheitslösung eine der wenigen war, die es schaffte, die neue Spyware von APT-C-23 in der Public Domain zu erkennen, leitete ESET eine Untersuchung ein und es stellte sich heraus, dass die Malware auch in anderen Anwendungen im oben genannten Store versteckt war.

Sie fanden es auch auf Threema, einer sicheren Messaging-Plattform, und AndroidUpdate, einer App, die ein Systemupdate für die mobile Plattform darstellt.

Mit Hilfe von Threema und Telegram erhält das Opfer die volle Funktionalität dieser Anwendungen zusammen mit Malware, wodurch die bösartige Natur gefälschter Anwendungen verborgen wird.

Vielleicht in einem Versuch, die Verbreitung von Malware zu kontrollieren, fügten die Angreifer ein gefälschtes Download-Gateway hinzu, das einen sechsstelligen Code erforderte.

ESET glaubt, dass der DigitalApps-Store nur eine der Verteilungsmethoden ist, mit denen die Angreifer Opfer infizierten, da sie andere Anwendungen fanden, die nicht im Store verfügbar waren, aber dieselbe Spyware enthielten.

„Im Juni 2020 blockierten ESET-Systeme diese Spyware auf Client-Geräten in Israel. Erkannte Malware-Samples waren laut ESET als WeMessage-Messaging-App getarnt

Die GUI der bösartigen Anwendung unterscheidet sich jedoch vom Original und scheint von einem Angreifer erstellt worden zu sein, was darauf hinweist, dass sie nicht versucht hat, sich als echtes Produkt auszugeben.

Verbesserter Funktionsumfang

APT-C-23 sind bei anderen Cybersicherheitsunternehmen unter verschiedenen Namen bekannt (Big Bang APT, Two-tailed Scorpion). Die Gruppe setzt Malware für Windows- (KasperAgent, Micropsia) und Android-Plattformen (GnatSpy, Vamp, FrozenCell) ein und zielt auf Ziele im Nahen Osten ab.

Im Vergleich zu früherer Android-Spyware erweitert die neueste Version von APT-C-23 die Funktionalität über die bereits vorhandenen Möglichkeiten der Audioaufzeichnung hinaus, den Diebstahl von Anrufprotokollen, SMS, Kontakten und bestimmten Dateitypen (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).

Die Liste der Funktionen umfasst jetzt die Möglichkeit , Benachrichtigungen von Sicherheits-Apps zu deaktivieren, die in Geräte von Samsung, Xiaomi und Huawei integriert sind, sodass Malware verborgen bleibt, selbst wenn ihre Aktivität erkannt wird.

Darüber hinaus kann die Software jetzt Benachrichtigungen von Messaging-Apps (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber) lesen und so eingehende Nachrichten und Kontozugangscodes effektiv stehlen.

Spyware kann auch den Bildschirm (Video und Bild) sowie eingehende und ausgehende Anrufe über WhatsApp aufzeichnen. Es kann auch heimlich Anrufe tätigen, indem es einen schwarzen Bildschirm erstellt, der ein inaktives Telefon nachahmt.

ESET hat einen technischen Bericht veröffentlicht, der die neuen Funktionen der APT-C-23 Enhanced Spyware beschreibt und nützliche Indikatoren enthält, die Ihnen helfen, ein kompromittiertes Gerät zu erkennen.