Häufig greifen Nutzer bei beliebten Messaging-Apps wie WhatsApp auf Mods von Drittanbietern zurück, wenn sie zusätzliche nützliche Features hinzufügen wollen.
Einige dieser Mods verbessern zwar die Funktionalität des Messaging-Dienstes, können jedoch auch versteckte Malware enthalten.
Die Sicherheitsexperten von Kaspersky haben nun eine neue schädliche WhatsApp-Mod mit Spionagefunktion entdeckt, die sich im beliebten Messenger Telegram ausbreitet. Während die Modifikation zwar ihren beabsichtigten Zweck erfüllt – unter anderem eine bessere Nutzererfahrung durch planbare Nachrichten – sammelt sie auch gleichzeitig heimlich über ein integriertes Spyware-Modul persönliche Informationen der Nutzer.
Die schädliche Version verbreitete sich aktuell über beliebte Telegram-Kanäle, die in erster Linie auf arabisch- und aserbaidschanischsprachige Nutzer abzielen und von denen einige fast zwei Millionen Abonnenten zählen. Die Kaspersky-Experten haben Telegram über das Problem bereits informiert.
Aserbaidschan, Saudi-Arabien, Jemen, die Türkei und Ägypten verzeichneten die höchsten Angriffsraten. Innerhalb eines Monats – im Oktober 2023 – griff die Malware so weltweit mehr als 340.000 Personen an. Davon stammen mit 3,4 Prozent aus Deutschland, damit zählt die Bundesrepublik zu den zehn am häufigsten betroffenen Ländern. Die Bedrohung ist erst seit Mitte August dieses Jahres bekannt.
Die Manifest-Datei des modifizierten WhatsApp-Clients enthält verdächtige Komponenten – einen Service und einen Rundfunk-Empfänger -, die in der Originalversion nicht vorhanden sind. Der Empfänger richtet einen Dienst ein, der das Spionagemodul startet, wenn das Telefon eingeschaltet ist oder geladen wird. Einmal aktiv, sendet das schädliche Implantat eine Anfrage mit Geräteinformationen an den Server des Angreifers. Hierzu gehören unter anderem IMEI, Telefonnummer, Länder- und Netzcodes. Darüber hinaus überträgt es alle fünf Minuten die Kontakte und Kontodaten des jeweiligen Opfers und ist in der Lage, Mikrofonaufzeichnungen einzurichten und Dateien von einem externen Speicher zu exfiltrieren.
Dmitry Kalinin, Sicherheitsexperte bei Kaspersky, kommentiert dies wie folgt:
„Viele Nutzer vertrauen Apps aus Quellen mit hohem Bekanntheitsgrad. Doch gerade dieses Vertrauen wird von Cyberkriminellen ausgenutzt. Wie wichtig es ist, offizielle Clients für Instant-Messaging-Programmen zu verwenden, zeigt die Verbreitung von schädlichen Mods über beliebte Drittanbieter-Plattformen wie in diesem Fall. Sollten Nutzer zusätzliche Funktionen benötigen, die im Original-Client nicht enthalten sind, empfiehlt es sich, vor der Installation von Software von Drittanbietern eine vertrauenswürdige Sicherheitslösung zu verwenden, um die Daten vor potenziellen Angriffen zu schützen. Wer seine persönlichen Daten umfassend schützen will, sollte immer Apps aus offiziellen App-Stores oder von offiziellen Websites installieren.“
Der Trojaner wird von Kaspersky-Produkten wie folgt erkannt: Trojan-Spy.AndroidOS.CanesSpy.