Gefälschte Telegram-Apps verbreiten sich bei neuem Android-Malware-Angriff über 607 Domänen

Eine neue Bedrohungskampagne verleitet Android-Nutzer dazu, gefälschte Telegram-Apps von Hunderten bösartiger Domains herunterzuladen, wie neue Untersuchungen der PreCrime Labs von BforeAI zeigen. Die seit einigen Wochen aktive Kampagne nutzt imitierte Websites, QR-Code-Weiterleitungen und eine modifizierte APK mit gefährlichen Berechtigungen und Remote-Execution-Funktionen.

Das Threat Intelligence Team identifizierte 607 Domains, die mit der Kampagne in Verbindung stehen. Alle geben sich als offizielle Telegram-Downloadseiten aus, die meisten sind über den Gname-Registrar registriert und in China gehostet. Einige Seiten verwenden Domainnamen wie teleqram, telegramapp, und telegramdl um die Marke zu imitieren und Nutzer anzusprechen, denen kleine Rechtschreibänderungen möglicherweise nicht auffallen.

Laut dem Blogbeitrag von BforeAI, der vor der Veröffentlichung am Dienstag mit Hackread.com geteilt wurde, werden die Opfer aufgefordert, über Links oder QR-Codes eine App herunterzuladen, die wie die Telegram Messenger-App aussieht.

Die Forscher beobachteten außerdem zwei Versionen der APK mit einer Größe von 60 MB und 70 MB. Nach der Installation verhält sich die App oberflächlich wie das Original, gewährt aber im Hintergrund umfassende Berechtigungen und ermöglicht die Ausführung von Remote-Befehlen.

Auffällig ist, dass die in dieser Kampagne verwendeten Phishing-Seiten wie persönliche Blogs oder inoffizielle Fanseiten aussehen. Ein typisches Beispiel leitet Nutzer zu zifeiji(.)asia weiter, einer Seite, die im Favicon, den Download-Buttons und den Farben von Telegram gestaltet ist. Seitentitel sind mit chinesischen SEO-Phrasen wie „Paper Plane Official Website Download“ überladen. Dies scheint ein Versuch zu sein, die Sichtbarkeit in den Suchergebnissen zu verbessern und gleichzeitig die Nutzer vom eigentlichen Zweck der App abzulenken.

Die bösartige APK ist mit einem älteren Signaturschema (v1) signiert und daher anfällig für die Janus-Sicherheitslücke , die die Android-Versionen 5.0 bis 8.0 betrifft. Janus ermöglicht es Angreifern, schädlichen Code in eine legitime APK einzufügen, ohne deren Signatur zu verändern. In diesem Fall behält die Malware ihre gültige Signatur und kann so Standarderkennungsmethoden umgehen.

Sobald die App auf einem Gerät installiert ist, nutzt sie Klartextprotokolle (HTTP, FTP) und greift umfassend auf externen Speicher zu. Sie enthält außerdem Code, der mit dem MediaPlayer interagiert und Sockets verwendet, um Remote-Befehle zu empfangen und auszuführen. Diese Kontrollebene könnte genutzt werden, um Aktivitäten zu überwachen, Dateien zu stehlen oder weitere Angriffe zu starten.

Zu Ihrer Information: Bei der Janus-Sicherheitslücke ( CVE-2017-13156 ) handelt es sich um eine schwerwiegende Sicherheitslücke in Android-Geräten, die es Angreifern ermöglichte, legitime APK- oder DEX-Dateien zu ändern, ohne deren kryptografische Signatur zu ändern, sodass schädliche Apps als vertrauenswürdig und unverändert erscheinen.

Ein wichtiger Befund betrifft eine inzwischen deaktivierte Firebase-Datenbank unter tmessages2(.)firebaseio(.)com , die zuvor von den Angreifern genutzt wurde. Obwohl die ursprüngliche Datenbank offline ist, warnen die Forscher, dass sie von jedem Angreifer, der ein neues Firebase-Projekt unter demselben Namen registriert, leicht reaktiviert werden könnte.

Ältere Versionen der Malware, die auf diesem Endpunkt fest codiert sind, verbinden sich dann automatisch mit der neuen, vom Angreifer kontrollierten Datenbank. Diese Taktik verlängert die Überlebensfähigkeit der Kampagne, selbst wenn die ursprünglichen Betreiber weiterziehen.

Die bösartige Infrastruktur nutzt außerdem Tracking-JavaScript, wie beispielsweise ajs.js , das auf telegramt(.)net gehostet wird. Das Skript sammelt Geräte- und Browserdaten, sendet die Daten an einen Remote-Server und enthält auskommentierten Code, um ein schwebendes Download-Banner anzuzeigen, das sich an Android-Nutzer richtet. Dieses Setup soll die Installationsraten erhöhen, indem es Geräte automatisch erkennt und das Benutzererlebnis anpasst.

Domänenaufschlüsselung

Von den 607 Domänen war die Top-Level-Domänennutzung wie folgt:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

Die hohe Zahl der .com Registrierungen deutet auf eine gezielte Bemühung hin, Glaubwürdigkeit zu schaffen, während die Verwendung kostengünstiger Domänen eine weite Verbreitung unterstützt.

Um das Risiko einer Gefährdung zu verringern, empfiehlt BforeAI Unternehmen, einige wichtige Vorsichtsmaßnahmen zu treffen. Richten Sie zunächst eine automatisierte Domänenüberwachung ein, um verdächtige oder ähnliche Website-Registrierungen zu erkennen, bevor sie aktiv werden. Außerdem ist es wichtig, APK-Dateien, URLs und zugehörige Hash-Werte mithilfe verschiedener Bedrohungsinformationen zu scannen, um deren Sicherheit zu gewährleisten.

Blockieren Sie nach Möglichkeit die Bereitstellung von APK- oder SVG-Anhängen , insbesondere wenn diese Dateitypen nicht für geschäftliche Zwecke benötigt werden. Stellen Sie außerdem sicher, dass Benutzer geschult sind, keine Apps von inoffiziellen Websites herunterzuladen, selbst wenn die Seite seriös aussieht oder eine bekannte Marke imitiert.

Phishing-Techniken sind mittlerweile ausgefeilt, und diese Kampagne zeigt, wie alte Exploits wie Janus immer noch gegen ahnungslose Nutzer eingesetzt werden können. Die Verwendung von QR-Codes, Typosquatting und zweckentfremdeten Cloud-Diensten sorgt für eine Raffinesse, die einfaches Filtern nicht mehr ausreicht.