Schwachstelle in Android-App

Cybergauner zielen mit "EvilVideo" auf Telegram-User ab

Uhr
von Alexandra Hüsler und tme

Forschende des IT-Security-Anbieters Eset haben einen Zero-Day-Exploit in der Telegram-App für Android entdeckt. Hacker nutzten die Schwachstelle aus, um Schadsoftware über Telegram-Kanäle, -Gruppen und -Chats zu verbreiten, indem sie diese als Multimedia-Dateien tarnten.

(Source: Janjira / stock.adobe.com)
(Source: Janjira / stock.adobe.com)

Forschende des IT-Sicherheitsunternehmens Eset haben eine Zero-Day-Lücke in der Messenger-App Telegram für Android entdeckt. Die als "EvilVideo" bezeichnete Schwachstelle habe es Angreifern ermöglicht, Schadcode über manipulierte Video-Dateien in Chats, Gruppen und Kanälen zu verbreiten, teilt das Unternehmen mit.

Der Exploit funktioniere auf Telegram-Versionen 10.14.4 und älter, heisst es weiter. Die verwendete Schad-App fanden die Forschenden in einem Forum und vermuten, dass sie mithilfe der Telegram-API erstellt wurde. "Wir stiessen in einem Untergrundforum auf einen Exploit, der dort zum Verkauf stand", erklärt Eset-Forscher Lukas Stefanko. "In dem Forumsbeitrag zeigt der Verkäufer Screenshots und ein Video vom Testen des Exploits in einem öffentlichen Telegram-Kanal."

So funktioniert der Exploit

Der Exploit basiere auf der Funktion der Android-App, bestimmte Medien als Vorschau und nicht als Anhang darzustellen. Sobald ein Hacker eine bösartige Nachricht in einem Chat teile, werde sie als Vorschau in Form eines 30-Sekunden-Videos dargestellt, heisst es weiter.

Sobald ein Empfänger versucht, das "Video" abzuspielen, meldet die Telegram-App, dass die Wiedergabe nicht möglich sei und schlägt die Verwendung eines externen Players vor. Tippt man dann auf die Schaltfläche "Öffnen" in der angezeigten Nachricht, wird man aufgefordert, eine App zu installieren, die als die externe App getarnt, in Wahrheit aber ein Schadcode ist.

Das automatische Herunterladen von Mediendateien ist in der Telegram-App standardmässig aktiviert, sodass Benutzer den Schadcode automatisch herunterladen, sobald sie die entsprechende Unterhaltung öffnen. Wenn Nutzer diese Option deaktiviert haben, können sie die Schadsoftware lediglich manuell herunterladen. Damit der Hackversuch gelinge, müsse zudem die Installation von Apps aus Drittquellen in den Android-Einstellungen aktiviert sein, schreibt Eset weiter.

Eset informierte Telegram am 26. Juni und 4. Juli 2024 über die Schwachstelle. Der Messenger-Dienst veröffentlichte am 11. Juli ein Update (Version 10.14.5), das die Lücke schliesst. 

 

Auch Betrüger nutzen Messenger-Dienste, um ihr Unwesen zu treiben. Die Kapo Zürich warnte im Juli 2024 vor Nachrichten von angeblichen Verwandten in einer Notsituation, mit denen die Kriminellen versuchen an Geld zu kommen. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien

Webcode
vbpXr2om