Skadevare blir stadig mer utspekulert og kreativ i måten den lurer brukere til å installere den. Én utbredt metode er å kamuflere skadevaren som legitim programvare, og det har vi nå fått et nytt eksempel på.

Sikkerhetsselskapet Check Point Research rapporterer at de har funnet en modifisert utgave av den populære, anonyme meldingsappen Telegram som brukes til å spre ondsinnet programvare.

Har innebygget trojaner

Skadevaren forkler seg som Telegram Messenger versjon 9.2.1 og har ifølge Check Point et pakkenavn som er identisk med den originale applikasjonen, som i utgangspunktet gjør den vanskelig å skille fra den ekte varen.

I likhet med den legitime utgaven har den ondsinnede versjonen av appen også en egen en autentiseringsskjerm hvor brukeren blir spurt om å oppgi telefonnummer, og å gi ulike tillatelser. Den har også det samme ikonet.

Skadevaren som er bygget inn i appen tilhører ifølge sikkerhetsselskapet en trojanerprogramvare ved navn Triada, som ført ble oppdaget tilbake i 2016.

Programvaren fungerer ved å samle inn informasjon om enheten, laste ned en konfigurasjonsfil, og vente på å motta selve «nyttelasten» (payload) fra en server som kontrolleres av bakmennene.

Når nyttelasten er dekryptert og lansert gis trojaneren systemprivilegier, som lar den injisere seg selv i andre prosesser og utføre flere typer uønskede aktiviteter.

Har også forkledd seg som WhatsApp

– Triada har mangfoldige ondsinnede evner, inkludert å registrere brukeren for forskjellige betalte abonnementer, utføre kjøp i appen ved hjelp av brukerens telefonnummer, vise annonser, og stjele påloggingsinformasjon. Den perfekte forkledning, sa Pål Aaserudseter, sikkerhetsarkitekt i Check Point Norge, i en pressemelding.

I tillegg til Telegram har Triada-programvaren tidligere også kamuflert seg som andre populære apper. Som sikkerhetsselskapet Kaspersky opplyste i 2021 har skadevaren blant annet skjult seg bak WhatsApp, men da også en modifisert utgave av appen.

Det er uvisst akkurat hvor mange som har lastet ned den ondsinnede Telegram-versjonen, og Check Point utdyper heller ikke hvordan den sprer seg, annet enn at det skjer gjennom «uoffisielle» kanaler.

Ifølge sikkerhetsselskapet illustrerer saken viktigheten av å være på vakt for modifiserte versjoner av applikasjoner, som ofte er attraktive alternativer til de offisielle versjonene.

– Risikoen for å installere modifiserte versjoner er stor, og det er umulig for brukere å vite hvilke endringer som faktisk blir gjort i applikasjonskoden. Man vet altså ikke hvilke koder som blir lagt til, og om de har ondsinnet hensikt. De falske, eller infiserte appene kan for eksempel tilby ekstra funksjoner og tilpasninger, reduserte priser eller være tilgjengelige i et bredere utvalg av land sammenlignet med den opprinnelige applikasjonen, skriver Check Point.