Modifizierte Versionen von mobilen Anwendungen sind in der Welt der Apps stark verbreitet. Diese Anwendungen bieten möglicherweise zusätzliche Funktionen und Anpassungen, reduzierte Preise oder sind in einer größeren Anzahl von Ländern verfügbar als die Originalanwendung. Ihr Angebot kann so verlockend sein, dass leichtfertige Benutzer sie über inoffizielle externe Anwendungsspeicher installieren.
Das Risiko der Installation modifizierter Versionen besteht darin, dass der Benutzer nicht wissen kann, welche Änderungen am Anwendungscode tatsächlich vorgenommen wurden. Genauer gesagt: Es ist nicht bekannt, welcher Code hinzugefügt wurde und ob er bösartige Absichten verfolgt.
Das Check-Point-Mobile-Research-Team hat kürzlich eine modifizierte Version der beliebten Telegram Messenger Android-Anwendung entdeckt. Obwohl sie unschuldig aussieht, ist in dieser modifizierten Version bösartiger Code eingebettet, der mit dem Trojaner Triada verbunden ist. Dieser Triada-Trojaner, der erstmals 2016 entdeckt wurde, ist eine modulare Hintertür für Android, die Administratorrechte zum Herunterladen anderer Malware gewährt.
Die perfekte Tarnung: Telegram 9.2.1 – Modifiziert mit Triada-Trojaner
Die Malware tarnt sich als Telegram-Messenger Version 9.2.1. Sie hat den gleichen Paketnamen (org.telegram.messenger) und das gleiche Symbol wie die ursprüngliche Telegram-Anwendung. Beim Start wird dem Benutzer der Telegram-Authentifizierungsbildschirm angezeigt und er wird aufgefordert, die Telefonnummer des Geräts einzugeben und der Anwendung Telefonrechte zu erteilen.
Dieser Ablauf fühlt sich wie der eigentliche Authentifizierungsprozess der ursprünglichen Telegram Messenger-Anwendung an. Der Benutzer hat also keinen Grund, zu vermuten, dass etwas Ungewöhnliches auf dem Gerät passiert.
Hinter den Kulissen
Die statische Analyse der Anwendungen zeigt, dass beim Starten der Anwendung ein Malware-Code im Hintergrund ausgeführt wird, der als interne Anwendungsaktualisierung getarnt ist.
Die Malware sammelt Geräteinformationen, baut einen Kommunikationskanal auf, lädt eine Konfigurationsdatei herunter und wartet auf den Empfang der Nutzdaten vom Remote-Server.
Sobald die Nutzlast entschlüsselt und gestartet ist, erlangt Triada Systemprivilegien, die es ihm ermöglichen, sich in andere Prozesse einzuschleusen und bösartige Aktionen durchzuführen.
Frühere Untersuchungen von Triada-Nutzdaten haben die vielfältigen bösartigen Fähigkeiten von Triada aufgezeigt. Dazu gehören die Anmeldung des Benutzers für verschiedene kostenpflichtige Abonnements, die Durchführung von In-App-Käufen unter Verwendung der SMS- und Telefonnummer des Benutzers, die Anzeige von Werbung (einschließlich unsichtbarer, im Hintergrund laufender Werbung) und der Diebstahl von Anmeldedaten und anderen Benutzer- und Geräteinformationen.
Wie sich Gerät vor Trojaner-Malware schützen lassen
- Laden Sie Ihre Apps immer von vertrauenswürdigen Quellen herunter, sei es von offiziellen Websites oder offiziellen App-Stores und Verzeichnissen.
- Überprüfen Sie vor dem Herunterladen, wer der Autor und Ersteller der App ist. Lesen Sie vor dem Herunterladen die Kommentare und Reaktionen früherer Nutzer.
- Achten Sie auf die von der installierten App geforderten Berechtigungen und darauf, ob sie für die eigentliche Funktion der App tatsächlich erforderlich sind.
Alle Details inklusive IoC finden sich im #CheckPoint Blog.