Malwaren, der gemmer sig bag en modificeret udgave af Android-versionen af beskedtjenesten Telegram, fungerer som en bagdør for cyberkriminelle, der gennem appen både kan tilmelde den intetanende bruger til forskellige betalte abonnementer, udføre køb i appen uden brugerens viden samt stjæle loginoplysninger.
- Modificerede ondsindede versioner af mobilapplikationer er desværre meget almindelige. De tilbyder typisk en række ekstra funktioner og tilpasninger eller reducerede priser, som kan være attraktive nok til at friste brugere til at installere versionen gennem uofficielle app-butikker. Det kan være rigtig svært at spotte, hvilke versioner, der kommer fra de rigtige udviklere og hvilke, der kommer fra cyberkriminelle. Man skal derfor altid downloade opdaterede versioner fra godkendte app-butikker, som man har tillid til, siger Balder Borup, der er Security Engineer hos Check Point Software Technologies i Danmark.
Den perfekte forklædning
Malwaren, der også er kendt som Triada, blev først spottet i 2016 og giver de cyberkriminelle administrativ adgang via en Android-bagdør. Triada forklæder sig denne gang som Telegram Messenger version 9.2.1, og den modificerede version har både samme navn og samme ikon som den originale Telegram-applikation.
Ved åbningen af den modificerede version præsenteres brugeren for en godkendelsesproces, der er næsten identisk med den originale app. Her bliver brugeren bedt om at indtaste enhedens telefonnummer og give applikationstilladelser. Derfor er der ikke umiddelbar grund til mistanke om, at der foregår noget usædvanligt på enheden. Når malwaren så er downloadet og dekrypteret, giver brugeren de cyberkriminelle adgang til at udføre forskellige ondsindede handlinger på enheden.
Triada giver nemlig cyberkriminelle mulighed for at tilmelde brugeren til forskellige betalte abonnementer, udføre køb i appen ved hjælp af brugerens SMS og telefonnummer, vise reklamer (inklusive usynlige annoncer, der kører i baggrunden) og stjæle loginoplysninger og andre bruger- og enhedsoplysninger.
Den ondsindede version af appen er nu blokeret af Check Point Harmony Mobile, der er en del af Check Point Software Security.