Telegram ist neben Whatsapp einer der beliebtesten Messenger-Dienste weltweit: Stolze 900 Millionen Nutzer weist die App aktuell vor. In Deutschland schaffte er es 2023 auf Platz vier der beliebtesten Messenger. Wie ESET-Forscher nun herausfanden, waren Android-Nutzer von Telegram in Gefahr: Das Team um Lukas Stefanko entdeckte einen Zero-Day-Exploit, also eine ungepatchte mögliche Schwachstelle, in der Telegram-App für Android.
Hacker konnten den Exploit ausnutzen, um eine Sicherheitslücke auszunutzen. Die ESET-Forscher tauften sie „EvilVideo“. Mithilfe von EvilVideo konnten Angreifer Schadsoftware über Telegram-Kanäle, -Gruppen und -Chats verbreiten, indem sie sie als Multimedia-Dateien tarnten. Die Schwachstelle wurde in der neuesten Telegram-Version (10.14.5) geschlossen.
„Wir stießen in einem Untergrundforum auf einen Exploit, der dort zum Verkauf stand“, erklärt ESET-Forscher Lukas Stefanko. „In dem Forumsbeitrag zeigt der Verkäufer Screenshots und ein Video vom Testen des Exploits in einem öffentlichen Telegram-Kanal. Es gelang uns den betreffenden Kanal zu identifizieren, in dem der Exploit noch verfügbar war. So kamen wir an die Werkzeuge der Kriminellen und konnten deren Vorgehen untersuchen.“
So funktioniert der Telegram-Exploit
Der Exploit funktioniert auf Telegram-Versionen 10.14.4 und älter. Die Schad-App, die die ESET-Forscher im Forum fanden, wurde höchstwahrscheinlich mit Hilfe der Telegram-API erstellt. Diese ermöglicht es Entwicklern speziell gestaltete Multimedia-Dateien in Telegram-Chats oder -Kanäle hochzuladen. Grundlage des Exploits war die Funktion der Android-App, bestimmte Medien als Vorschau und nicht als Anhang zu zeigen: Sobald ein Hacker eine bösartige Nachricht in einem Chat teilte, wurde sie als Vorschau eines 30-sekündigen Videos geteilt.
Sobald ein Nutzer versucht, das „Video“ in der Nachricht abzuspielen, zeigt Telegram eine Meldung an, die Wiedergabe sei nicht möglich und schlägt die Verwendung eines externen Players vor. Tippt der Benutzer dann auf die Schaltfläche „Öffnen“ in der angezeigten Nachricht, fordert sie ihn dazu auf, eine App zu installieren, die als die oben erwähnte externe App getarnt ist. Hierbei handelt es sich dann um einen beliebigen Schadcode, den Hacker auf den Geräten ihrer Opfer installieren wollten. Dazu musste der Nutzer gegebenenfalls noch die Installation von Apps aus Drittquellen in den Android-Einstellungen aktivieren.
Automatische Download-Funktion spielt Hackern in die Hände
Die Funktion zum automatischen Download von Mediendateien ist in der Telegram-App standardmäßig aktiviert. Das bedeutet: Benutzer laden den Schadcode automatisch herunter, sobald sie die entsprechende Unterhaltung öffnen. Haben Nutzer diese Option deaktiviert, können sie die die Schadsoftware nur manuell runterladen.
Gefahr erkannt, Gefahr gebannt
ESET meldete die EvilVideo-Schwachstelle Telegram am 26. Juni und 4. Juli 2024. Das Problem wurde daraufhin behoben und Telegram veröffentlichte am 11. Juli die Version 10.14.5. Die Sicherheitslücke betraf alle Versionen der Messenger-App für Android bis 10.14.4.
„Nutzer sollten unbedingt darauf achten, dass ihre Telegram-App auf dem neusten Stand ist“, rät Stefanko. „Die meisten Android-Geräte dürften allerdings die Updates für die App automatisch laden und installieren.“
Weitere Informationen zu EvilVideo finden Sie im Blogpost „Bloß nicht anschauen: EvilVideo-Exploit zielt auf Android-Nutzer“ auf WeLiveSecurity.com.
(vp/ESET Deutschland GmbH)