Ein Hacker vor seinem Notebook
Ein Hacker vor seinem Notebook
Bildquelle: Lishchyshyn, Lizenz

Telegram App dient StrongPity-Hackern als Überwachungssoftware

Getarnt als mobile Anwendung der Videochat-Plattform Shagle greift eine manipulierte Telegram-App brisante Informationen für StrongPity ab.

Eine Hackergruppe mit dem Namen “StrongPity” hat eine manipulierte Telegram-App unter Benutzern der Videochat-Plattform Shagle verbreitet. Nach der Installation der bösartigen Android-Anwendung dient diese ihren Schöpfern als umfassendes Überwachungsinstrument.

Trojanisierte Telegram-App zielt auf Shagle-Anwender

Telegram hat sich neben WhatsApp in den letzten Jahren zu einer der beliebtesten Messenger-Apps entwickelt. Das macht sie jedoch auch zunehmend zur Zielscheibe für kriminelle Aktivitäten. Und die Tatsache, dass der Quellcode der Anwendung frei auf GitHub verfügbar ist, gestaltet einen Missbrauch für potenzielle Angreifer umso einfacher.

So entdeckten Sicherheitsforscher von ESET erst kürzlich eine von der APT-Hackergruppe StrongPity ins Leben gerufene Shagle-Chat-App. Bei dieser handelt es sich letztendlich um eine trojanisierte Version von Telegram für Android.

Zerknittertes Logo der Telegram-App
Zerknittertes Logo der Telegram-App

Jedoch verfügt die rein webbasierte Plattform Shagle, bei der Anwender per Zufall in einem Videochat mit fremden Personen landen, eigentlich über gar keine eigene mobile Anwendung.

Dennoch animieren die Hacker ihre Opfer über eine gefälschte Webseite bereits seit 2021 zum Download der bösartigen Anwendung. Denn diese erlaubt es ihren Schöpfern unter anderem Telefonanrufe zu überwachen sowie SMS und Kontaktlisten abzugreifen.

Elf Module verschaffen StrongPity weitreichende Zugriffe

Laut einem Bericht von BleepingComputer kommt die schadhafte Telegram-App als Datei mit dem Namen “video.apk” auf die Smartphones der Anwender. Sie basiert auf Version 7.5.0 des ursprünglichen Messengers – ist also auf dem Stand von Februar 2022.

Nach der Installation ruft die Anwendung eine AES-verschlüsselte Datei vom Server der Angreifer ab, die insgesamt elf Module enthält. Jedes Einzelne davon stellt StrongPity Funktionen zur Verfügung, um Daten verschiedenster Art vom Smartphone des Opfers auszulesen.

Somit können die Hacker beispielsweise Telefonanrufe aufzeichnen und SMS, Kontaktlisten, App-Listen, Benutzerkonten sowie Systeminformationen auslesen. Über die Barrierefreiheitsdienste von Android haben sie sogar Zugriff auf Benachrichtigungen beliebter Anwendungen wie Skype, Snapchat, Twitter, Gmail, Instagram, Viber, WeChat oder Tinder.

Ferner können die Angreifer auf gerooteten Android-Geräten über die manipulierte Telegram-App mitunter Sicherheitseinstellungen des Systems ändern, diverse Dateioperationen ausführen und das Betriebssystem neu starten.

StrongPity verbreitete die gefälschte Telegram-App wahrscheinlich via Phishing

Wie die Besucher auf die gefälschte Webseite mit dem Download zu der Malware gelangen, konnten die ESET-Forscher bisher nicht feststellen. Jedoch sei anzunehmen, dass eine Phishing-Kampagne für den nötigen Traffic sorgt. Im Google Play Store soll die Anwendung indes nie verfügbar gewesen sein.

Da die gefälschte Telegram-App derzeit keine neuen Benutzerregistrierungen annimmt und die eingebaute Hintertür damit nicht mehr funktionsfähig ist, gehen die Sicherheitsforscher davon aus, dass die Hacker ihr gesetztes Angriffsziel bereits erreicht haben.

Dennoch ist es für Anwender grundsätzlich ratsam, vor allem bei Apps aus unbekannten Quellen besondere Vorsicht walten zu lassen. Zwar gab es auch im Google Play Store schon viele schädliche Anwendungen, doch über Webseiten können Angreifer ihre Malware noch weitaus einfacher verbreiten, da ihnen dabei weniger Sicherheitsbarrieren im Wege stehen.

Tarnkappe.info

Mehr zu dem Thema
Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.