Chinesische Hacker greifen mithilfe gefälschter Messenger-Apps auf persönliche Nutzerdaten zu. Dazu gehören Inhalte von Nachrichten, Kontaktdaten und Anrufprotokolle. Besonders perfide: Die beiden als legitime Apps getarnten Wanzen waren über die offiziellen App-Stores Google Play und Samsung Galaxy Store erhältlich. Beim koreanischen Hersteller sind die Anwendungen sogar weiterhin verfügbar. Bis Mai 2023 nahmen die Hacker tausende Nutzer auf der ganzen Welt ins Visier. Ein Hauptziel ist vor allem Deutschland. Das Team um ESET-Forscher hat die beiden Apps "Signal Plus Messenger" und "FlyGram" entdeckt, die sich als legitime Signal- und Telegram-Messenger tarnen. Beide installieren die BadBazaar-Spyware, die früher bereits zur Unterdrückung von Uiguren und anderen Minderheiten in China zum Einsatz kam.
Wie die Hacker vorgingen
Bei Signal und Telegram handelt es sich um quelloffene Anwendungen. Das bedeutet, jeder kann ihren Quellcode einsehen und verändern. Hacker machten sich dies zunutze, indem sie das funktionierende Grundgerüst der Messenger um ihren Schadcode erweiterten. Danach veröffentlichten sie diese in den App-Stores. Der Vorteil für Cyberkriminelle bei dieser Methode besteht darin, dass die "neue" App denselben Funktionsumfang wie das Original vorweist und so den Anschein von Legalität erweckt. Nutzer merken in der Praxis keinen Unterschied zur offiziellen Anwendung. Beide Anwendungen sind nach der Entdeckung durch ESET aus dem Google Play Store entfernt worden, im Samsung Galaxy Store sind sie noch verfügbar.
Nach dem ersten Start von Signal Messenger Plus muss sich der Benutzer genau wie bei der offiziellen Signal-App für Android anmelden. Danach verbindet sich die Malware mit den Servern der Hacker. Die App spioniert Nachrichten aus, indem sie die Funktion "Gerät verbinden" zweckentfremdet. Diese Spionagemethode ist insofern einzigartig, als dass diese Funktion bis jetzt noch nie von Malware missbraucht wurde.
Bei der gefälschten Telegram-App FlyGram meldet sich auch das Opfer an, wie es der offizielle Messenger erfordert. Noch bevor die Anmeldung abgeschlossen ist, erhalten FlyGram und die Malware BadBazaar die Möglichkeit, sensible Informationen vom Gerät abzuführen. Auf Daten und Nachrichten, die in Telegram verschickt werden, erhalten die Hacker allerdings keinen Zugriff.
Nutzer weltweit betroffen
ESET hat in vielen Ländern und Regionen Aktivitäten von gefälschten Apps registriert. Besonders betroffen sind Android-Geräte in Europa, allen voran Deutschland und Polen. Auch in Australien, Südamerika, Afrika sowie Nord- und Südamerika ist die Malware aktiv. Darüber hinaus verbreiteten Cyberkriminelle einen Link zu FlyGram im Google Play Store in einer uigurischen Telegram-Gruppe. Apps der BadBazaar-Malware-Familie wurden in der Vergangenheit bereits gegen Uiguren und andere turksprachige ethnische Minderheiten ausserhalb Chinas eingesetzt.
Keine Kommentare:
Kommentar veröffentlichen