Hacker nutzen Telegram als Waffe mit Schadsoftware aus, um die Systemkontrolle zu erlangen

Berichten zufolge wird die Schadsoftware über irreführende In-App-Werbung und Drittanbieter-App-Stores, die sich als seriöse Dating- und Kommunikationsplattformen ausgeben, auf Geräte eingeschleust. Diese Bedrohung stellt eine deutliche Eskalation der Verbreitung mobiler Schadsoftware dar; sie hat bereits 58.000 Geräte infiziert.

Darüber hinaus ist es auch auf mehr als 3.000 Smartphones, Tablets, TV-Boxen und einigen Android-basierten Fahrzeugsystemen verfügbar.

Hacker missbrauchen Telegram mit Schadsoftware, um Zugriff zu erlangen

Dem Bericht zufolge begann die Verbreitung der Hintertür im Jahr 2024. Der Hacker zielte dabei vorwiegend auf brasilianische und indonesische Nutzer ab und nutzte dafür Vorlagen in portugiesischer und indonesischer Sprache. Die Opfer stoßen in der mobilen Anwendung auf Werbung, die sie auf gefälschte App-Kataloge weiterleitet. Diese enthalten gefälschte Bewertungen und Werbebanner, die kostenlose Video-Chats und Dating-Angebote bewerben. Von diesen gefälschten Webseiten werden Apps angeboten, die mit Schadsoftware infiziert und den Originalen täuschend ähnlich sehen.

Abgesehen von den bösartigen Websites hat die Hintertür auch etablierte Drittanbieter-Repositories wie APKPure, ApkSum und AndroidP infiltriert, wo sie fälschlicherweise unter dem Namen des offiziellen Messenger-Entwicklers veröffentlicht wird, obwohl sie eine andere digitale Signatur besitzt.

Analystendentdass die Schadsoftware über außergewöhnliche Fähigkeiten zum DiebstahldentInformationen verfügt, darunterdent, Passwörter und vollständige Chatverläufe. Die Hintertür verschleiert zudem Indikatoren für kompromittierte Konten, indem sie Verbindungen von Drittanbietergeräten aus den aktiven Telegram-Sitzungslisten ausblendet.

Darüber hinaus ist es in der Lage, seine Opfer ohne deren Zustimmung zu Kanälen und Chats hinzuzufügen oder daraus zu entfernen, diese Aktionen vollständig zu verschleiern und kompromittierte Konten in Werkzeuge zur künstlichen Aufblähung der Abonnentenzahlen von Telegram-Kanälen zu verwandeln.

Was diese Malware von herkömmlichen Android-Bedrohungen unterscheidet, ist die Nutzung der Redis-Datenbank für die Befehls- und Kontrollfunktionen. Frühere Versionen der Malware nutzten traditionelle C2-Server, die Entwickler haben jedoch Redis-basierte Befehle integriert.

Schadsoftware manipuliert Funktionen unbemerkt

Der Bericht behauptet, dass die Hintertür mehrere Techniken nutzt, um Messenger-Funktionen unbemerkt zu manipulieren. Für Operationen, die die Kernfunktionen der App nicht beeinträchtigen, verwenden die Hacker bereits vorbereitete Spiegelungen von Messenger-Methoden. Diese Spiegelungen sind separate Codeblöcke, die für spezifische Aufgaben innerhalb der Android-Programmarchitektur zuständig sind.

Diese Spiegelung ermöglicht es der App, Phishing-Nachrichten in Fenstern anzuzeigen, die die originalen Telegram X- Oberflächen perfekt nachbilden.

Für komplexere Operationen, die eine tiefere Integration erfordern, nutzt die Malware das Xposed-Framework, um die App-Methoden zu modifizieren. Dies ermöglicht Funktionen wie das Ausblenden bestimmter Chats, das Verbergen autorisierter Geräte und das Abfangen von Zwischenablageinhalten. Die Backdoor-Malware verwendet Redis-Kanäle und C2-Server, um umfangreiche Befehle zu empfangen, darunter das Hochladen von SMS, Kontakten und Zwischenablageinhalten, sobald ein Benutzer das Messenger-Fenster minimiert oder wiederherstellt.

Die Überwachung der Zwischenablage wird von Hackern genutzt, um Daten wie Passwörter für Krypto-Wallets, Wiederherstellungsphrasen oderdentGeschäftskommunikation zu stehlen, die unwissentlich offengelegt wurden. Die Hintertür sammelt Geräteinformationen, Daten installierter Anwendungen, Nachrichtenverläufe und Authentifizierungstoken und übermittelt diese Informationen alle drei Minuten an die Hacker, während sie den Anschein einer normalen Telegram-Nutzung erweckt.