Die Forscher des IT-Sicherheitsherstellers ESET entdeckten gefährliche Kopien der beliebten Messenger-Apps WhatsApp und Telegram. Alle haben es auf die Kryptowährungen und Wallets ihrer Opfer abgesehen. Die Verbreitung der trojanisierten App-Versionen erfolgt über Dutzende von nachgeahmten Telegram- und WhatsApp-Websites, die insbesondere auf Android- und Windows-Nutzer abzielen.
Bei den meisten der identifizierten bösartigen Apps handelt es sich um sogenannte Clipper: eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Darüber hinaus verwenden einige dieser Anwendungen die optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind.
Gut geplanter Betrug
Die Angreifer platzierten zunächst Google-Anzeigen, die zu betrügerischen YouTube-Kanälen führten. Diese wiederum leiteten dann die Betrachter auf gefälschte Telegram- und WhatsApp-Webseiten um. ESET Research meldete die betrügerischen Anzeigen und die damit verknüpften YouTube-Kanäle umgehend an Google, das alle umgehend abschaltete. Es ist jedoch davon auszugehen, dass neue Werbung geschaltet wird oder bereits wurde.
„Das Hauptziel der von uns entdeckten Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen. Alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen wurden durch Adressen ersetzt, die den Angreifern gehören. Zusätzlich zu den trojanisierten WhatsApp- und Telegram-Apps für Android haben wir auch Windows-Versionen derselben Apps gefunden“, sagt ESET-Forscher Lukáš Štefanko.
Obwohl sie den gleichen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Erstmals nutzen die analysierten Android-Clipper OCR (optical character recognition), um Text aus Screenshots und gespeicherten Fotos auf dem Gerät des Opfers zu extrahieren: zum Beispiel, um den Zugangsschlüssel für das Wallet (Seed-Phrase) herauszufinden. Sie besteht aus einer beliebigen Kombination von 12 oder 24 Wörtern und sichert die gespeicherten Coins gegen den Zugriff Dritter. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen Geldbörse stehlen.
In einem anderen Fall tauschte die Malware während der Chat-Kommunikation einfach die Adresse der Kryptowährungs-Geldbörse des Opfers gegen die Adresse des Angreifers aus. Dabei wurden die Adressen entweder fest codiert oder dynamisch vom Server des Angreifers abgerufen. In einem anderen Fall überwachte die Malware die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die gesamte Nachricht an den Server des Angreifers.
Auch Windows-Apps sind betroffen
ESET Research fand auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote Access Trojanern (RATs) gebündelt waren. Abweichend vom üblichen Muster besteht eines der Windows-bezogenen Malware-Bündel nicht aus Clippern, sondern aus RATs, die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Geldbörsen für Kryptowährungen zu stehlen, ohne den Anwendungsfluss abzufangen.
„Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter“, rät Štefanko. „Wenn Sie vermuten, dass Ihre Telegram-App für Windows bösartig ist, sollten Sie eine Sicherheitslösung verwenden, die die Bedrohung erkennt und sie für Sie entfernt. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich.“
Ausgehend von der Sprache, die in den gefälschten Apps verwendet wird, scheint es, dass die dahinter stehenden Betreiber hauptsächlich chinesischsprachige Nutzer ansprechen. Es kann aber nicht ausgeschlossen werden, dass die Angreifer auch in Europa aktiv sind. Einige der gefälschten Whatsapp- und Telegram-Seiten waren in englischer Sprache.
Weitere technische Informationen über die in Instant-Messaging-Apps eingebauten Clipper finden Sie im Blogbeitrag auf Welivesecurity.de.
www.eset.com