Kaspersky hat kürzlich entdeckt, dass mehrere bösartige Telegram-Klone für Android im Google Play Store verfügbar waren und über 60.000 Mal heruntergeladen wurden. Diese gefälschten Apps infizierten die Nutzer mit Spyware, die Nachrichten, Kontakte und andere Daten stiehlt.

Die betroffenen Apps scheinen speziell auf chinesischsprachige Nutzer und die uigurische Minderheit abzielen, was auf mögliche Verbindungen zu staatlichen Überwachungsmechanismen und Repressionen hinweist, die bereits dokumentiert wurden.

Die Telegram-Apps, die in Kasperskys Bericht erwähnt werden, werden als „schnellere“ Alternativen zur regulären App beworben.

Die Sicherheitsanalysten berichten, dass die Apps auf den ersten Blick genauso aussehen wie die originale Telegram-App, jedoch zusätzliche Funktionen im Code enthalten, um Daten zu stehlen.

Insbesondere gibt es ein zusätzliches Paket namens ‚com. wsys‘, das auf die Kontakte des Nutzers zugreift und auch den Benutzernamen, die Benutzer-ID und die Telefonnummer des Opfers sammelt.

Wenn der Nutzer eine Nachricht über die manipulierte App erhält, sendet die Spyware eine Kopie direkt an den Server des Betreibers unter „sg[.]telegrnm[.]org“.

Die übertragenen Daten, die vor der Übertragung verschlüsselt werden, enthalten den Nachrichteninhalt, den Chat/Kanal-Titel und die ID sowie den Namen und die ID des Absenders.

Die Spyware-App überwacht auch die infizierte App auf Änderungen am Benutzernamen und der ID des Opfers sowie auf Änderungen an der Kontaktliste. Wenn sich etwas ändert, werden die aktuellsten Informationen gesammelt.

Es sei darauf hingewiesen, dass die bösartigen Evil Telegram-Apps die Paketnamen ‚org.telegram.messenger.wab‘ und ‚org.telegram.messenger.wob‘ verwendeten, während die legitime Telegram-App den Paketnamen ‚org.telegram.messenger.web‘ hat.

Google hat inzwischen diese Android-Apps aus dem Google Play Store entfernt und gab die folgende Erklärung gegenüber BleepingComputer ab:

„Wir nehmen Sicherheits- und Datenschutzansprüche gegen Apps ernst, und wenn wir feststellen, dass eine App gegen unsere Richtlinien verstoßen hat, ergreifen wir angemessene Maßnahmen. Alle gemeldeten Apps wurden aus dem Google Play Store entfernt und die Entwickler wurden gesperrt. Nutzer sind auch durch Google Play Protect geschützt, das Nutzer warnen oder Apps blockieren kann, die bekanntermaßen bösartiges Verhalten auf Android-Geräten mit Google Play Services zeigen.“ – Google.

Diese Vorfälle zeigen erneut die Gefahren von modifizierten Messaging-Apps auf. Nutzer sollten die offiziellen Versionen der Messaging-Apps verwenden und das Herunterladen von Apps vermeiden, die verbesserte Privatsphäre, Geschwindigkeit oder andere Funktionen versprechen, aber nicht von vertrauenswürdigen Quellen stammen.

Google hatte Schwierigkeiten, diese bösartigen Apps zu stoppen, da die Entwickler bösartigen Code über Nachsichtungs- und Nachinstallationsupdates einführten.

Im Juli stellte Google eine Strategie zur Implementierung eines Geschäftsverifizierungssystems im Google Play Store ab dem 31. August 2023 vor, um die Sicherheit für Android-Nutzer zu erhöhen.