Een zero-day beveiligingslek in de mobiele app van Telegram voor Android, genaamd EvilVideo, maakte het voor aanvallers mogelijk om schadelijke bestanden te bemachtigen die eruitzagen als onschuldig ogende video’s.
De exploit verscheen op 6 juni 2024 te koop voor een onbekende prijs op een ondergronds forum, aldus ESET. Na de verantwoorde openbaarmaking op 26 juni werd het probleem door Telegram aangepakt in versie 10.14.5 die op 11 juli werd uitgebracht.
“Aanvallers zouden schadelijke Android-payloads kunnen delen via Telegram-kanalen, groepen en chat, en deze laten verschijnen als multimediabestanden”, aldus beveiligingsonderzoeker Lukáš Štefanko in een rapport.
Er wordt aangenomen dat de payload is samengesteld met behulp van Telegram’s application programming interface (API), die het mogelijk maakt om multimediabestanden programmatisch te uploaden naar chats en kanalen. Op die manier kan een aanvaller een kwaadaardig APK-bestand camoufleren als een video van 30 seconden.
Gebruikers die op de video klikken, krijgen een waarschuwing te zien waarin staat dat de video niet kan worden afgespeeld en worden aangespoord om te proberen deze af te spelen met een externe speler. Als ze doorgaan met de stap, wordt hen vervolgens gevraagd om de installatie van het APK-bestand via Telegram toe te staan. De app in kwestie heet “xHamster Premium Mod.”
“Standaard worden mediabestanden die via Telegram worden ontvangen, automatisch gedownload”, aldus Štefanko. “Dit betekent dat gebruikers met de optie ingeschakeld automatisch de kwaadaardige payload downloaden zodra ze het gesprek openen waarin deze is gedeeld.”
Hoewel deze optie handmatig kan worden uitgeschakeld, kan de payload nog steeds worden gedownload door op de downloadknop te tikken die bij de veronderstelde video hoort. Het is vermeldenswaard dat de aanval niet werkt op Telegram-clients voor het web of de speciale Windows-app.
Het is momenteel niet duidelijk wie er achter de exploit zit en hoe wijdverbreid deze is gebruikt in echte aanvallen. Dezelfde actor adverteerde echter in januari 2024 met een volledig ondetecteerbare Android-crypter (ook wel cryptor genoemd) die naar verluidt Google Play Protect kan omzeilen.
Het virale succes van Hamster Kombat zorgt voor een kwaadaardige copycat
De ontwikkeling vindt plaats op een moment dat cybercriminelen munt slaan uit de op Telegram gebaseerde cryptovalutagame Hamster Kombat voor financieel gewin. ESET ontdekte bijvoorbeeld nep-appstores die de app promoten, GitHub-repositories die Lumma Stealer voor Windows hosten onder het mom van automatiseringstools voor de game, en een onofficieel Telegram-kanaal dat wordt gebruikt om een Android-trojan genaamd Ratel te verspreiden.
De populaire game, die in maart 2024 werd gelanceerd, heeft naar schatting meer dan 250 miljoen spelers, aldus de gameontwikkelaar. Telegram CEO Pavel Durov noemde Hamster Kombat de “snelst groeiende digitale service ter wereld” en dat “Hamster’s team zijn token op TON zal slaan, waarmee de voordelen van blockchain aan honderden miljoenen mensen worden geïntroduceerd.”
Ratel, aangeboden via een Telegram-kanaal genaamd “hamster_easy,” is ontworpen om het spel (“Hamster.apk”) na te bootsen en vraagt gebruikers om het toegang tot meldingen te verlenen en zichzelf in te stellen als de standaard SMS-applicatie. Vervolgens initieert het contact met een externe server om een telefoonnummer als antwoord te krijgen.
In de volgende stap verstuurt de malware een Russischtalig sms-bericht naar dat telefoonnummer, dat waarschijnlijk toebehoort aan de malware-operators, om aanvullende instructies via sms te ontvangen.
“De dreigingsactoren worden dan in staat om het gecompromitteerde apparaat via sms te besturen: het operatorbericht kan een tekst bevatten die naar een bepaald nummer moet worden verzonden, of zelfs het apparaat instrueren om het nummer te bellen”, aldus ESET. “De malware kan ook het huidige bankrekeningsaldo van het slachtoffer voor Sberbank Rusland controleren door een bericht met de tekst баланс (vertaling: saldo) naar het nummer 900 te sturen.”
Ratel misbruikt zijn notificatietoegangsrechten om notificaties van maar liefst 200 apps te verbergen op basis van een hard-coded lijst die erin is ingesloten. Er wordt vermoed dat dit wordt gedaan in een poging om de slachtoffers te abonneren op verschillende premium services en te voorkomen dat ze worden gewaarschuwd.
Het Slowaakse cybersecuritybedrijf zei ook dat het nep-appstorefronts had ontdekt die beweerden Hamster Kombat te downloaden, maar gebruikers in werkelijkheid doorverwezen naar ongewenste advertenties. Ook werden er GitHub-repositories gevonden die Hamster Kombat-automatiseringstools aanboden die in plaats daarvan Lumma Stealer implementeerden.
“Het succes van Hamster Kombat heeft ook cybercriminelen aan het werk gezet, die al malware zijn gaan inzetten die gericht is op de spelers van het spel,” aldus Štefanko en Peter Strýček. “De populariteit van Hamster Kombat maakt het rijp voor misbruik, wat betekent dat het zeer waarschijnlijk is dat het spel in de toekomst meer kwaadwillende actoren zal aantrekken.”
BadPack Android-malware glipt door de mazen van het net
Naast Telegram zijn er ook schadelijke APK-bestanden die gericht zijn op Android-apparaten in de vorm van BadPack. Deze bestanden zijn speciaal vervaardigde pakketbestanden waarvan de headerinformatie in het ZIP-archiefformaat is gewijzigd om statische analyse te belemmeren.
Het idee is om te voorkomen dat het bestand AndroidManifest.xml, een cruciaal bestand dat essentiële informatie over de mobiele applicatie bevat, wordt geëxtraheerd en op de juiste manier wordt geparseerd, waardoor schadelijke artefacten kunnen worden geïnstalleerd zonder dat er rode vlaggen worden gegenereerd.
Deze techniek werd eerder deze april uitgebreid gedocumenteerd door Kaspersky in verband met een Android-trojan genaamd SoumniBot die gebruikers in Zuid-Korea targette. Telemetriegegevens verzameld door Palo Alto Networks Unit 42 van juni 2023 tot juni 2024 hebben bijna 9.200 BadPack-samples in het wild gedetecteerd, hoewel geen van hen is gevonden in de Google Play Store.
“Deze geknoeide headers zijn een belangrijk kenmerk van BadPack, en dergelijke samples vormen doorgaans een uitdaging voor Android reverse engineering tools,” zei Lee Wei Yeong, onderzoeker bij Unit 42, in een vorige week gepubliceerd rapport. “Veel Android-gebaseerde banking Trojans zoals BianLian, Cerberus en TeaBot gebruiken BadPack.”
