Bezpečnostní experti ze společnosti Check Point upozornili na zneužívání komunikační aplikace Telegram ke vzdálenému ovládání trojského koně ToxicEye. Uvedený malware slouží ke krádeži dat z postižených zařízení a může provádět další škodlivé aktivity.
Telegram se coby cloudová komunikační platforma těší rostoucí přízni uživatelů. Tomuto trendu napomohla i kontroverzní změna podmínek v konkurenční aplikaci WhatsApp. Telegram byl s více než 63 miliony instalací celosvětově nejstahovanější aplikací za leden 2021 a překročil hranici 500 milionů aktivních uživatelů měsíčně. S popularitou však roste i zájem kybernetických zločinců.
Telegram jako dálkový ovladač
Útočníci stále častěji využívají Telegram jako způsob, jak vzdáleně ovládat své škodlivé aplikace. Poprvé byl jako infrastruktura pro řízení malwaru použit již v roce 2017, kdy došlo ke krádeži informací pomocí programu Masad.
Zločincům přináší využití populární služby řadu výhod:
- Dostupnost – Telegram je populární, snadno použitelná a stabilní služba, která není blokována podnikovými antivirovými řešeními, ani nástroji pro správu sítí.
- Anonymita – útočníci mohou zůstat v anonymitě, protože proces registrace vyžaduje pouze mobilní číslo.
- Jednoduchost – komunikační funkce Telegramu umožňují útočníkům krást data z počítačů obětí nebo přenášet škodlivé soubory na infikovaná zařízení.
- Mobilita – Telegram také umožňuje útočníkům používat mobilní zařízení pro přístupu k infikovaným počítačům téměř odkudkoli na celém světě.
Od doby, kdy se Masad objevil na hackerských fórech, byly v repozitářích hackerských nástrojů na GitHubu nalezeny desítky nových typů malwaru, které využívají Telegram a jeho funkce ke vzdálenému ovládání a škodlivým aktivitám.
Trojský kůň ToxicEye
Check Point odhalil v posledním čtvrtletí více než 130 útoků pomocí nového multifunkčního trojského koně se vzdáleným přístupem s názvem ToxicEye. Malware se šíří prostřednictvím phishingových e-mailů obsahujících škodlivý soubor. Pokud uživatel přílohu otevře, ToxicEye se nainstaluje do zařízení a bez vědomí oběti provede řadu úkonů, včetně:
- krádeže dat
- mazání nebo přenosu souborů
- násilného ukončování procesů
- přebírání kontroly nad mikrofonem a kamerou za účelem nahrávání zvuku a videa
- šifrování souborů za účelem získání výkupného
Útočník pak může například vyhledávat a krást hesla, informace o zařízení, historii prohlížeče a soubory cookie. Dokáže také odchytávat všechny stisknuté klávesy a zaznamenávat dění pomocí mikrofonu a kamery. Systém umožňuje hackerům odesílat škodlivé příkazy dokonce i když Telegram není na zařízení nainstalován nebo používán.
Odborník na bezpečnost Petr Kadrmas při této příležitosti upozorňuje: „Varujeme organizace a uživatele Telegramu, aby si dávali pozor na škodlivé e-maily a byli opatrní, zejména pokud předmět e-mailu obsahuje uživatelské jméno nebo je obsah zprávy psán kostrbatě. Očekáváme, že hackeři budou dále vylepšovat své techniky, jak zneužít Telegram k útokům.“