Onderzoekers hebben malware ontdekt die cache en sleutelbestanden van de versleutelde chatdienst Telegram steelt om zo sessies te kapen. De eerste versie van de malware, die zich op de desktopversie van Telegram richt, werd op 10 april van dit jaar ontdekt, gevolgd door een tweede variant vier dagen later.

Dat meldt Cisco in een analyse. De eerste versie kon alleen inloggegevens en cookies in de browser stelen, alsmede alle tekstbestanden die op het systeem werden gevonden. De tweede variant maakte ook de desktopcache en sleutelbestanden van Telegram buit en inloggegevens voor het spelplatform Steam. De maker van de malware zou verschillende video's hebben gemaakt waarin wordt uitgelegd hoe de verzamelde bestanden zijn te gebruiken om Telegram-sessies te kapen.

De onderzoekers merken op dat de malware geen gebruik maakt van kwetsbaarheden in Telegram. "De malware richt zich op de desktopversie van Telegram, die geen Secret Chats ondersteunt en zwakke standaardinstellingen heeft", aldus onderzoeker Vitor Ventura. Telegram maakt standaard geen gebruik van end-to-end-encryptie. Bij Secret Chats wordt er wel via deze encryptiemethode gecommuniceerd en zijn berichten alleen door de afzender en ontvanger te lezen.

"De malware maakt misbruik van het ontbreken van Secret Chats in de desktopapplicatie, wat een feature is en geen bug", gaat Ventura verder. Daarnaast beschikt de desktopversie van Telegram niet over een automatisch uitlogfunctie. "Deze twee elementen samen laten de malware de sessie en vervolgens berichten kapen", zegt de onderzoeker. Ook contacten en eerdere chatgesprekken van het slachtoffer worden hierbij gecompromitteerd. Ventura merkt op dat de malware zich voornamelijk op Russisch sprekende gebruikers richt.