Titokban települ a malware: majd néma üzemmódban kezdi meg működését, amely lehetővé teszi, hogy a kibercsapda észrevétlen maradjon.
Így hajt végre csendben parancsokat a fertőzött eszköz, többek között további spyware eszközök telepítését.
A joggal népszerű Telegram alkalmazás asztali verziójának nulladik napi sebezhetőségét használja ki az új malware.
A Kaspersky Lab kutatói által felfedezett sebezhetőséget a malware szállítására használták, amely a számítógéptől függően képes backdoor-ként vagy bányászó programként viselkedni.
Kutatásuk szerint a malware tavaly március óta aktív és olyan kriptovalutákat bányász, mint a Monero vagy a Zcash.
A Telegramot az ág is húzza
Úgy kezdődött, hogy két hete kidobták az Apple internetes applikációs boltjából, az App Store-ból a Telegram üzenetküldő alkalmazást – tudatta Pavel Durov, a Telegram elnök-vezérigazgatója.Az alkalmazást nem sokkal az után törölték, hogy gyártója elérhetővé tett egy új változatot, a Telegram X-et az androidos telefonokra.
A Telegram weboldalán az iPhone-ra és iPad-re mutató link
A Telegram volt az egyik első olyan okostelefonos alkalmazás, amely titkosított üzenetküldést és beszélgetést tesz lehetővé.
A több platformon elérhető appnak 2017 decemberében 180 millió aktív felhasználója volt.
Durov a VKontaktye nevű orosz közösségi portál alapítója, de az oldal irányításából később kiszorították, állítása szerint Vlagyimir Putyin orosz elnök szövetségesei, mert nem volt hajlandó adatot szolgáltatni a 2014-es ukrán válság szereplőiről. A Telegramot deklaráltan azzal a céllal hozta létre, hogy olyan kommunikációs lehetőséget teremtsen, amelyet az orosz biztonsági szervek nem tudnak lehallgatni.
A Telegramot több ország kormánya bírálta, mert a titkosítás miatt terroristák és bűnözők is előszeretettel használják.
Az üzenetküldő szolgáltatások már régóta elengedhetetlen részei online életünknek, ugyanakkor komoly problémát is jelenthetnek, ha kibertámadást szenvednek el.
Nem is olyan régen például a Skygofree trójai tarolt a kibertérben, amely képes volt a WhatsApp üzeneteket ellopni.
A kutatások szerint a Telegram nulladik napi sebezhetőségének alapja az RLO (right-to-left-override) Unicode módszer. Ezt alapvetően olyan nyelvek kódolásához használják, amelyek jobbról balra írnak, például az arab- és a héber nyelv. Azonban nemcsak erre használható, hanem a kiberbűnözők is igénybe veszik azért, hogy megtévesszék a felhasználókat egy-egy fájl tartalmáról és letöltsék a fertőzött fájlt.
A támadók egy rejtett Unicode karaktert használtak a fájl nevében, amely megfordította a karakterek sorrendjét, azaz átnevezte magát. Ennek eredményeként a felhasználók letöltötték a rejtett kártékony programot, amely települt a számítógépeken.
Az áldozat PC-jének teljesítményét használva a kiberbűnözők olyan kriptovalutákat bányásztak, mint például Monero, Zcash vagy Fantomcoin. Továbbá a kutatók találtak néhány olyan archívumot, amely szerint ellopták az áldozatok lokális cache-t.
A biztonsági rés sikeres kiaknázása után a backdoor a Telegram kezelőfelületét használta C&C szerverként.
A Kaspersky Lab jelezte a sérülékenységet a Telegramnak, így a publikálás óta nem látható további nulladik-napi sérülékenység.
