Die Malware gibt sich geschickt als die neueste Version von aus Telegram-Messenger, insbesondere Version 9.2.1. Es übernimmt den genauen Paketnamen (org.telegram.messenger) und repliziert das Symbol der ursprünglichen Telegram-Anwendung. Wenn der Benutzer die App öffnet, wird ihm der bekannte Telegram-Authentifizierungsbildschirm angezeigt, in dem er aufgefordert wird, die Telefonnummer seines Geräts einzugeben und der Anwendung Telefonberechtigungen zu erteilen.
Bei näherer Betrachtung mittels statischer Analyse wird deutlich, dass die Anwendung Schadcode enthält, der als interner Anwendungsaktualisierungsdienst getarnt ist. Sobald der Benutzer die App startet, agiert dieser versteckte Malware-Code heimlich im Hintergrund. Seine Hauptziele bestehen darin, Geräteinformationen zu sammeln, einen Kommunikationskanal einzurichten, eine Konfigurationsdatei abzurufen und auf die Zustellung der Nutzlast von einem Remote-Server zu warten.Sobald die Nutzlast empfangen und entschlüsselt wurde, wird die Malware, bekannt als Triada, erhält erhöhte Systemrechte. Diese erhöhten Privilegien ermöglichen es Triada, sich in andere Prozesse einzuschleusen und eine Reihe böswilliger Aktionen auszuführen.So schützen Sie sich Schützen Sie Ihr Smartphone vor Malware
Ende des Artikels