Hauptziel ist vor allem Deutschland – Fake-Apps aus China spionieren deutsche Signal- und Telegram-Nutzer aus

Fake-Apps aus China spionieren deutsche Signal- und Telegram-Nutzer aus

Mes­sen­ger-Nut­zer auf­ge­passt! Chi­ne­si­sche Hacker grei­fen mit­hil­fe gefälsch­ter Mes­sen­ger-Apps auf per­sön­li­che Nut­zer­da­ten zu. Dazu gehö­ren Inhal­te von Nach­rich­ten, Kon­takt­da­ten und Anruf­pro­to­kol­le. Beson­ders per­fi­de: Die bei­den als legi­ti­me Apps getarn­ten Wan­zen waren über die offi­zi­el­len App-Stores Goog­le Play und Sam­sung Gala­xy Store erhält­lich. Beim korea­ni­schen Her­stel­ler sind die Anwen­dun­gen sogar wei­ter­hin ver­füg­bar. Bis Mai 2023 nah­men die Hacker tau­sen­de Nut­zer auf der gan­zen Welt ins Visier. Ein Haupt­ziel ist vor allem Deutsch­land. Das Team um ESET For­scher Lukas Stef­an­ko hat die bei­den Apps „Signal Plus Mes­sen­ger“ und „Fly­Gram“ ent­deckt, die sich als legi­ti­me Signal- und Tele­gram-Mes­sen­ger tar­nen. Bei­de instal­lie­ren die Bad­Ba­zaar-Spy­wa­re, die frü­her bereits zur Unter­drü­ckung von Uigu­ren und ande­ren Min­der­hei­ten in Chi­na zum Ein­satz kam. Detail­lier­te Infor­ma­tio­nen haben die ESET Exper­ten auf www​.welive​secu​ri​ty​.de veröffentlicht.

Von Signal Mes­sen­ger Plus und Fly­Gram betrof­fe­ne Länder

Die Spio­na­ge-Apps wei­sen die glei­chen Funk­tio­nen auf wie die Ori­gi­nal-Apps: Nut­zer kön­nen mit ihnen Nach­rich­ten schrei­ben und Bil­der ver­schi­cken, ohne Ver­dacht zu schöp­fen. Bei­de Anwen­dun­gen sind nach der Ent­de­ckung durch ESET aus dem Goog­le Play Store ent­fernt wor­den, im Sam­sung Gala­xy Store sind sie noch verfügbar.

Bei­de Apps sind im Sam­sung Gala­xy Store noch ver­füg­bar (Stand 28.08.2023)

Wie die Hacker vorgingen

Bei Signal und Tele­gram han­delt es sich um quell­of­fe­ne Anwen­dun­gen. Das bedeu­tet, jeder kann ihren Quell­code ein­se­hen und ver­än­dern. Hacker mach­ten sich dies zunut­ze, indem sie das funk­tio­nie­ren­de Grund­ge­rüst der Mes­sen­ger um ihren Schad­code erwei­ter­ten. Danach ver­öf­fent­lich­ten sie die­se in den App-Stores. Der Vor­teil für Cyber­kri­mi­nel­le bei die­ser Metho­de besteht dar­in, dass die „neue“ App den­sel­ben Funk­ti­ons­um­fang wie das Ori­gi­nal vor­weist und so den Anschein von Lega­li­tät erweckt. Nut­zer mer­ken in der Pra­xis kei­nen Unter­schied zur offi­zi­el­len Anwendung.

Nach dem ers­ten Start von Signal Mes­sen­ger Plus muss sich der Benut­zer genau wie bei der offi­zi­el­len Signal-App für Android anmel­den. Danach ver­bin­det sich die Mal­wa­re mit den Ser­vern der Hacker. Die App spio­niert Nach­rich­ten aus, indem sie die Funk­ti­on „Gerät ver­bin­den“ zweck­ent­frem­det. Dies geschieht, indem das kom­pro­mit­tier­te Gerät auto­ma­tisch mit dem Signal-Gerät des Angrei­fers ver­bun­den wird. Die­se Spio­na­ge­me­tho­de ist inso­fern ein­zig­ar­tig, als dass die­se Funk­ti­on bis jetzt noch nie von Mal­wa­re miss­braucht wurde.

Auch bei der gefälsch­ten Tele­gram-App Fly­Gram mel­det sich das Opfer an, wie es der offi­zi­el­le Mes­sen­ger erfor­dert. Noch bevor die Anmel­dung abge­schlos­sen ist, erhal­ten Fly­Gram und die Mal­wa­re Bad­Ba­zaar die Mög­lich­keit, sen­si­ble Infor­ma­tio­nen vom Gerät abzu­füh­ren. Fly­Gram kann auf Tele­gram-Back­ups zugrei­fen, wenn der Benut­zer eine bestimm­te, von den Hackern hin­zu­ge­füg­te Funk­ti­on akti­viert hat. Die­se Funk­ti­on war in min­des­tens 13.953 Benut­zer­kon­ten aktiv. Angrei­fer sind mit Fly­Gram zwar in der Lage, eini­ge Meta­da­ten zu pro­to­kol­lie­ren, bei­spiels­wei­se Kon­takt­lis­ten, Anruf­pro­to­kol­le sowie Gerä­te- und Netz­werk­in­for­ma­tio­nen. Auf Daten und Nach­rich­ten, die in Tele­gram ver­schickt wer­den, erhal­ten die Hacker aller­dings kei­nen Zugriff.

Nut­zer welt­weit betroffen

ESET hat in vie­len Län­dern und Regio­nen Akti­vi­tä­ten von gefälsch­ten Apps regis­triert. Beson­ders betrof­fen sind Android-Gerä­te in Euro­pa, allen vor­an Deutsch­land und Polen. Auch in Aus­tra­li­en, Süd­ame­ri­ka, Afri­ka sowie Nord- und Süd­ame­ri­ka ist die Mal­wa­re aktiv. Dar­über hin­aus ver­brei­te­ten Cyber­kri­mi­nel­le einen Link zu Fly­Gram im Goog­le Play Store in einer uigu­ri­schen Tele­gram-Grup­pe. Apps der Bad­Ba­zaar-Mal­wa­re-Fami­lie wur­den in der Ver­gan­gen­heit bereits gegen Uigu­ren und ande­re turk­spra­chi­ge eth­ni­sche Min­der­hei­ten außer­halb Chi­nas eingesetzt.

Vor­sicht vor Apps von unbe­kann­ten Entwicklern

Nut­zer soll­ten bei der Instal­la­ti­on von Mes­sen­ger-Diens­ten und ande­ren Apps immer auf den Ent­wick­ler bezie­hungs­wei­se das Unter­neh­men hin­ter dem Dienst ach­ten. Im Zwei­fels­fall soll­te die Wahl immer auf den offi­zi­el­len Her­stel­ler fal­len. Die bei­den Fake-Mes­sen­ger las­sen sich immer noch über den Sam­sung Gala­xy Store und diver­se Dritt­an­bie­ter­sei­ten her­un­ter­la­den. Auf kei­nen Fall dür­fen User sie auf ihre Smart­phones instal­lie­ren. Zudem ist der Ein­satz einer Secu­ri­ty-App, auch auf Mobil­ge­rä­ten, rat­sam. So wird der Down­load oder die Instal­la­ti­on der App früh­zei­tig unter­bun­den und eine Infek­ti­on des Sys­tems vermieden.

Wei­te­re tech­ni­sche Infor­ma­tio­nen zu den neu­es­ten Kam­pa­gnen von GREF, Bad­Ba­zaar und den tro­ja­ni­sier­ten Spio­na­ge-Apps fin­den Sie im Blog­post „Bad­Ba­zaar Spio­na­ge-Tool zielt auf Android-Nut­zer über tro­ja­ni­sier­te Signal- und Tele­gram-Apps“ auf WeLive­Secu­ri­ty.

_____________________

Quel­le: ESET Deutsch­land GmbH, Chris­ti­an Lueg, Head of Com­mu­ni­ca­ti­on & PR DACH, Micha­el Klat­te, Phil­ipp Plum
Ori­gi­nal-Con­tent von: ESET Deutsch­land GmbH, über­mit­telt durch news aktuell

Foto­credit: Ado­be­Stock 572443271 / Brisystem