Eine Hackergruppe namens "StrongPity" hat eine manipulierte Telegram-App unter Shagle-Nutzern verbreitet, die als mobile Anwendung getarnt ist. Diese böswillige Android-Anwendung dient den Schöpfern von StrongPity als umfassendes Überwachungsinstrument, um brisante Informationen zu stehlen.
Trojanisierte Telegram-App zielt auf Shagle-Anwender
Telegram ist neben WhatsApp eine der beliebtesten Messenger-Apps geworden. Das macht jedoch auch zunehmend zur Zielscheibe für kriminelle Aktivitäten. Die Tatsache, dass der Quellcode der Anwendung frei auf GitHub verfügbar ist, macht es für potenzielle Angreifer noch einfacher, ihn zu missbrauchen.
Die Sicherheitsforscher von ESET haben kürzlich entdeckt, dass die APT-Hackergruppe StrongPity eine Shagle-Chat-App ins Leben gerufen hat. In Wirklichkeit handelt es sich jedoch um eine trojanisierte Version von Telegram für Android.
Eine gefälschte Webseite animiert die Opfer zum Download
Obwohl die rein webbasierte Plattform Shagle keine eigene mobile Anwendung hat, animieren die Hacker ihre Opfer bereits seit 2021 über eine gefälschte Webseite zum Download der bösartigen Anwendung. Diese ermöglicht es den Schöpfern, Telefonanrufe zu überwachen, SMS und Kontaktlisten abzugreifen und weitere Funktionen auszuführen.
Elf Module ermöglichen umfassende Überwachung
Die schadhafte Telegram-App wird als Datei mit dem Namen "video.apk" auf die Smartphones der Nutzer heruntergeladen. Sie basiert auf Version 7.5.0 des ursprünglichen Messengers und enthält elf Module, die StrongPity weitreichende Zugriffe ermöglichen, um Daten aller Art vom Smartphone des Opfers auszulesen.
Die Hacker können daher aufgezeichnete Telefonanrufe, SMS, Kontaktlisten, App-Listen, Benutzerkonten und Systeminformationen auslesen. Sie haben auch Zugriff auf Benachrichtigungen beliebter Anwendungen wie Skype, Snapchat, Twitter, Gmail, Instagram, Viber, WeChat oder Tinder. Auf gerooteten Android-Geräten können sie sogar Sicherheitseinstellungen des Systems ändern, diverse Dateioperationen ausführen und das Betriebssystem neu starten.
StrongPity hat wahrscheinlich eine Phishing-Kampagne eingesetzt
Es ist nicht bekannt, wie die Besucher auf die gefälschte Webseite mit dem Download zu der Malware gelangen. Es ist jedoch anzunehmen, dass eine Phishing-Kampagne für die nötige Traffic sorgte. Die Anwendung war indes nie im Google Play Store verfügbar.
Die gefälschte Telegram-App nimmt derzeit keine neuen Benutzerregistrierungen an, und die eingebaute Hintertür ist damit nicht mehr funktionsfähig. Die Sicherheitsforscher gehen davon aus, dass die Hacker bereits ihr Ziel erreicht haben.
Vorsicht ist geboten, besonders bei Apps aus unbekannten Quellen
Es ist ratsam, bei Apps aus unbekannten Quellen besonders vorsichtig zu sein. Obwohl es auch im Google Play Store viele schädliche Anwendungen gab, können Angreifer ihre Malware über Webseiten noch einfacher verbreiten, da ihnen dabei weniger Sicherheitsbarrieren im Wege stehen.
Kommentare