Den Umfang einer häufig genutzten App um nützliche Features erweitern? Wer sich von der Versprechung, das Nutzererlebnis in seiner Messaging-App werde sich verbessern, zum Herunterlagen von Drittanbieter-Mods verlocken lässt, kann ein böses Erwachen erleben. Einige dieser Mods erweitern zwar die Funktionalität der Messaging-Dienste tatsächlich, gleichzeitig kann sich aber darin Malware verbergen, die heimlich ins System eindringt. Experten eines weltweit agierenden Cyber-Sicherheitsanbieters haben nun eine neue schädliche WhatsApp-Mod mit Spionagefunktion entdeckt, die sich aktuell im beliebten Messenger Telegram ausbreitet. [1]
Die gefährliche Modifikation lässt sich zwar durchaus für die beworbenen Zwecke einsetzen –beispielsweise um für eine Nachrichten den optimalen Sendezeitpunkt zu planen –, gleichzeitig sammelt sie allerdings mittels eines integrierten Spyware-Moduls persönliche Informationen zum Nutzer. Die schädliche Mod-Version verbreitete sich aktuell über beliebte Telegram-Kanäle und hat allein im Oktober 2023 mehr als 340.000 Personen angegriffen. Die höchsten Angriffsraten waren laut Kaspersky in Aserbaidschan, Saudi-Arabien, im Jemen, in der Türkei und in Ägypten zu verzeichnen, allerdings auch 3,4 Prozent in Deutschland, Tendenz steigend. Die Malware zielte wohl zunächst in erster Linie auf Nutzer ab, die auf Arabisch oder Aserbaidschan-Türkisch schreiben, von denen jedoch einige fast zwei Millionen Abonnenten haben.
Als sich Sicherheitsexperten die Modifikation genauer ansahen, entdeckten sie, dass die Manifest-Datei der Mod verdächtige, in der Originalversion nicht vorhandene Service-Komponenten enthält, darunter einen Rundfunk-Empfänger. Der Empfänger richtet einen Dienst ein, der das Spionagemodul startet und eine Anfrage mit Geräteinformationen an den Server des Angreifers sendet. Hierzu gehören unter anderem die 15-stellige Seriennummer (International Mobile Station Equipment Identity oder IMEI), anhand der jedes GSM- oder UMTS-Endgerät weltweit eindeutig identifiziert werden kann, die Telefonnummer sowie Länder- und Netzcodes. Darüber hinaus überträgt das Spionagemodul alle fünf Minuten die Kontakte und die Kontodaten des Opfers, kann per Mikrofon Audiodaten aufzeichnen und die Dateien für die Exfiltrierung von einem externen Speicher bereitstellen.
„Viele Nutzer vertrauen Apps aus Quellen mit hohem Bekanntheitsgrad“, kommentiert Dmitry Kalinin, Sicherheitsexperte bei Kaspersky. „Doch gerade dieses Vertrauen wird von Cyberkriminellen ausgenutzt. Wie wichtig es ist, offizielle Clients für Instant-Messaging-Programmen zu verwenden, zeigt die Verbreitung von schädlichen Mods über beliebte Drittanbieter-Plattformen wie in diesem Fall.“ Nutzer sollten sich durch zusätzliche Funktionen, die im Original-Client nicht enthalten sind, nicht zur Installation der Software von Drittanbietern verleiten lassen. „Wer seine persönlichen Daten umfassend schützen will“, so Kalinin, „sollte immer Apps aus offiziellen App-Stores oder von offiziellen Websites installieren.“ Die Kaspersky-Experten haben Telegram über das Problem bereits informiert und sichergestellt, dass der Trojaner von Kaspersky-Produkten unter der Bezeichnung Trojan-Spy.AndroidOS.CanesSpy erkannt wird.
