Nep-Telegram-apps verspreid via 607 domeinen in nieuwe Android-malwareaanval

Een nieuwe dreigingscampagne verleidt Android-gebruikers tot het downloaden van neppe Telegram-apps van honderden kwaadaardige domeinen, blijkt uit nieuw onderzoek van PreCrime Labs van BforeAI. De operatie, die de afgelopen weken actief was, maakt gebruik van vergelijkbare websites, QR-code-omleidingen en een aangepaste APK met gevaarlijke machtigingen en functies voor uitvoering op afstand.

Het threat intelligence-team identificeerde 607 domeinen die aan de campagne waren gekoppeld. Ze doen zich allemaal voor als officiële Telegram-downloadpagina's, waarvan de meeste geregistreerd zijn via de Gname-registrar en gehost worden in China. Sommige sites gebruiken domeinnamen zoals teleqram, telegramapp, en telegramdl om de merknaam te imiteren en richten zich op gebruikers die kleine spelfouten mogelijk niet opmerken.

Volgens de blogpost van BforeAI, die vóór publicatie op dinsdag met Hackread.com werd gedeeld, worden slachtoffers via links of QR-codes gevraagd om wat lijkt op de Telegram Messenger-app te downloaden.

Onderzoekers observeerden ook twee versies van de APK, met een grootte van 60 MB en 70 MB. Eenmaal geïnstalleerd, gedraagt de app zich oppervlakkig als de echte versie, maar verleent hij ongemerkt brede rechten en maakt hij het uitvoeren van opdrachten op afstand mogelijk.

Opvallend is dat de phishingsites die in deze campagne worden gebruikt, eruitzien als persoonlijke blogs of onofficiële fanpagina's. Een typisch voorbeeld hiervan is dat gebruikers worden doorverwezen naar zifeiji(.)asia , een site die is vormgegeven met het favicon, de downloadknoppen en de kleuren van Telegram. Paginatitels staan vol met SEO-zinnen in het Chinees, zoals "Downloaden vanaf officiële website van Paper Plane". Dit lijkt een poging om de zichtbaarheid in de zoekresultaten te verbeteren en gebruikers af te leiden van de werkelijke bedoeling van de app.

De kwaadaardige APK is ondertekend met een ouder v1-handtekeningschema, waardoor deze kwetsbaar is voor de Janus-kwetsbaarheid , die Android-versies 5.0 tot en met 8.0 treft. Janus stelt kwaadwillenden in staat schadelijke code in een legitieme APK te plaatsen zonder de handtekening te wijzigen. In dit geval behoudt de malware een geldige handtekening, waardoor standaard detectiemethoden kunnen worden omzeild.

Eenmaal op een apparaat maakt de app gebruik van plattetekstprotocollen (HTTP, FTP) en heeft hij breed toegang tot externe opslag. De app bevat ook code die communiceert met MediaPlayer en sockets gebruikt om opdrachten op afstand te ontvangen en uit te voeren. Deze mate van controle kan worden gebruikt om activiteiten te monitoren, bestanden te stelen of verdere aanvallen uit te voeren.

Ter informatie: de Janus-kwetsbaarheid ( CVE-2017-13156 ) is een ernstig beveiligingslek in Android-apparaten waarmee aanvallers legitieme APK- of DEX-bestanden konden wijzigen zonder de cryptografische handtekening te veranderen. Hierdoor leken kwaadaardige apps betrouwbaar en ongewijzigd.

Een belangrijke bevinding heeft betrekking op een inmiddels gedeactiveerde Firebase-database op tmessages2(.)firebaseio(.)com , die eerder door de aanvallers werd gebruikt. Hoewel de oorspronkelijke database offline is, waarschuwen onderzoekers dat deze gemakkelijk opnieuw kan worden geactiveerd door een aanvaller die een nieuw Firebase-project onder dezelfde naam registreert.

Oudere versies van de malware die hardgecodeerd op dat eindpunt zijn geïnstalleerd, zouden vervolgens automatisch verbinding maken met de nieuwe, door de aanvaller beheerde database. Deze tactiek verlengt de levensvatbaarheid van de campagne, zelfs als de oorspronkelijke beheerders verdergaan.

De kwaadaardige infrastructuur maakt ook gebruik van tracking-JavaScript, zoals ajs.js , gehost op telegramt(.)net . Het script verzamelt apparaat- en browsergegevens, stuurt de gegevens naar een externe server en bevat code met commentaar om een zwevende downloadbanner weer te geven die gericht is op Android-gebruikers. Deze configuratie is ontworpen om de installatiepercentages te verhogen door apparaten automatisch te detecteren en de gebruikerservaring aan te passen.

Domeinindeling

Van de 607 domeinen was het gebruik van het topleveldomein als volgt:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

Het hoge aantal .com registraties wijst erop dat er bewust is geprobeerd om geloofwaardigheid te vergroten, terwijl het gebruik van goedkope domeinen een brede verspreiding ondersteunt.

Om het risico op blootstelling te verminderen, adviseert BforeAI organisaties een paar belangrijke voorzorgsmaatregelen te nemen. Stel allereerst geautomatiseerde domeinmonitoring in om verdachte of vergelijkbare siteregistraties te detecteren voordat ze actief worden. Het is ook belangrijk om APK-bestanden, URL's en gerelateerde hashwaarden te scannen met behulp van meerdere bronnen voor bedreigingsinformatie om te controleren of ze veilig zijn.

Blokkeer waar mogelijk de levering van APK- of SVG-bijlagen , vooral als deze bestandstypen niet nodig zijn voor zakelijk gebruik. Zorg er ten slotte voor dat gebruikers getraind zijn om geen apps te downloaden van onofficiële websites, zelfs niet als de pagina er legitiem uitziet of een bekend merk nabootst.

Phishingtechnieken zijn geraffineerder geworden en deze campagne laat zien hoe oude exploits zoals Janus nog steeds gebruikt kunnen worden tegen nietsvermoedende gebruikers. Het gebruik van QR-codes, typosquatting en aangepaste cloudservices voegt een niveau van verfijning toe waardoor eenvoudig filteren niet langer volstaat.