Modifizierte Versionen von mobilen Anwendungen sind in der Welt der Apps stark verbreitet. Diese Anwendungen bieten möglicherweise zusätzliche Funktionen und Anpassungen, reduzierte Preise oder sind in einer größeren Anzahl von Ländern verfügbar als die Originalanwendung.
Ihr Angebot kann so verlockend sein, dass leichtfertige Benutzer sie über inoffizielle externe Anwendungsspeicher installieren. Das Risiko der Installation modifizierter Versionen besteht darin, dass der Benutzer nicht wissen kann, welche Änderungen am Anwendungscode tatsächlich vorgenommen wurden. Genauer gesagt: Es ist nicht bekannt, welcher Code hinzugefügt wurde und ob er bösartige Absichten verfolgt.
Das Check Point Mobile Research Team hat kürzlich eine modifizierte Version der beliebten Telegram Messenger Android-Anwendung entdeckt. Obwohl sie unschuldig aussieht, ist in dieser modifizierten Version bösartiger Code eingebettet, der mit dem Trojaner Triada verbunden ist. Dieser Triada-Trojaner, der erstmals 2016 entdeckt wurde, ist eine modulare Hintertür für Android, die Administratorrechte zum Herunterladen anderer Malware gewährt.
Perfekte Tarnung
Die Malware tarnt sich als Telegram Messenger Version 9.2.1. Sie hat den gleichen Paketnamen (org.telegram.messenger) und das gleiche Symbol wie die ursprüngliche Telegram-Anwendung. Beim Start wird dem Benutzer der Telegram-Authentifizierungsbildschirm angezeigt und er wird aufgefordert, die Telefonnummer des Geräts einzugeben und der Anwendung Telefonrechte zu erteilen. Dieser Ablauf fühlt sich wie der eigentliche Authentifizierungsprozess der ursprünglichen Telegram Messenger-Anwendung an. Der Benutzer hat also keinen Grund, zu vermuten, dass etwas Ungewöhnliches auf dem Gerät passiert.
Sobald die Nutzlast entschlüsselt und gestartet ist, erlangt Triada Systemprivilegien, die es ihm ermöglichen, sich in andere Prozesse einzuschleusen und bösartige Aktionen durchzuführen.Frühere Untersuchungen von Triada-Nutzdaten haben die vielfältigen bösartigen Fähigkeiten von Triada aufgezeigt. Dazu gehören die Anmeldung des Benutzers für verschiedene kostenpflichtige Abonnements, die Durchführung von In-App-Käufen unter Verwendung der SMS- und Telefonnummer des Benutzers, die Anzeige von Werbung (einschließlich unsichtbarer, im Hintergrund laufender Werbung) und der Diebstahl von Anmeldedaten und anderen Benutzer- und Geräteinformationen.
Mehr bei Checkpoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.