Gefährliche Lücke in Telegram aufgetaucht

23.07.2024

Kriminelle konnten dadurch Schadsoftware auf dem Smartphone installieren.

Forscher haben eine Zero-Day-Lücke in Telegram entdeckt, die es Kriminellen ermöglicht, bösartige Software als normale Dateien zu tarnen. Das Problem betrifft lediglich Android-Nutzer der Messenger-App.

➤ Mehr lesen: Telegram bricht Versprechen, für immer gratis zu sein

Die slowakische Sicherheitsfirma ESET entdeckte den EvilVideo genannten Exploit Anfang Juni und meldete sie dem Unternehmen. Anfang Juli spielte Telegram ein Update aus, um die Lücke zu beseitigen. App-Versionen ab 10.14.5 sind also sicher.

In Forum verkauft

Die Lücke dürfte bereits aktiv genutzt worden sein. In einem einschlägigen Forum wurde eine Anleitung zum Ausnützen der Lücke zu einem nicht näher genannten Preis verkauft. Dazu stellte der Nutzer auch Screenshots und ein Video online, die beweisen sollten, dass die Attacke auch funktioniert.

Angreifer konnten demnach die Schwachstelle nutzen, um Schadsoftware über Telegram-Kanäle und in Gruppen sowie Chats zu versenden, die wie Multimediadateien erscheinen. Meist werden sie als Videos getarnt. Die Attacke nutzt dabei die Standardeinstellung von Telegram, dass solche Mediendateien automatisch heruntergeladen werden.

➤ Mehr lesen: Verschwörungsmythen: Warum man Telegram nicht einfach abdrehen kann

Will der Nutzer das Video abspielen, erhält er die Fehlermeldung, dass es nicht abgespielt werden kann. Stattdessen wird vorgeschlagen, eine externe Videoapp zu verwenden. Die Hacker stellen gleichzeitig eine falsche Videoapp zur Verfügung, die heruntergeladen und installiert werden kann. In Wahrheit installiert man sich allerdings Schadsoftware am Handy, die sich als "Avast Antivirus" und "xHamster Premium Mod" ausgibt.

Telegram-Lücke bereits getopft

In der aktualisierten Telegram-Version wird die Datei nicht mehr als Video angezeigt, sondern korrekterweise als App. Von welcher Hackergruppe der Exploit stammt, ist nicht bekannt. Ebenso unklar ist, wie weit er verbreitet ist.

Über das Ziel der Angreifer kann ebenso nur spekuliert werden. Möglich ist, dass damit eine App installiert werden sollte, das im Hintergrund nach Kryptowährungen schürft. Das Programm, das laut den Kriminellen "völlig unsichtbar" sein soll, wurde ebenso im Forum angepriesen.