WolfRAT: Android-Malware greift Apps von WhatsApp und Facebook Messenger an

Forscher von Cisco Talos haben einen neuen Remote-Access-Trojaner für Android namens WolfRAT entdeckt. Es handelt sich offenbar um eine Variante von DenDroid, dessen Quellcode 2015 durchgesickert war. Derzeit nimmt WolfRAT Nutzer von Messaging-Anwendungen wie WhatsApp, Facebook Messenger und Line ins Visier – vor allem in Thailand.

Verbreitet wird WolfRAT als angebliches Update für Adobe Flash oder Google Play. Fällt ein Nutzer auf die Täuschung herein, wird der Trojaner auf seinem Android-Gerät installiert. Anschließend sammelt WolfRAT diverse Gerätedaten. Die Malware kann aber auch Fotos und Videos aufnehmen, SMS-Nachrichten auslesen, Audio aufzeichnen und Daten an einen Befehlsserver im Internet übertragen.

Wird jedoch eine Messenger-App wie WhatsApp benutzt, startet die Malware eine Screenshot-Funktion und zeichnet alle 50 Sekunden den Bildschirminhalt auf. Der Screenrecorder wird beendet, sobald WhatsApp wieder geschlossen wird.

Die Talos-Forscher Warren Mercer, Paul Rascagneres und Vitor Ventura vermuten hinter WolfRAT den Spyware-Händler Wolf Research. Laut VirusTotal verkauft die Organisation Überwachungstechnologien an Regierungen. Seine Lösungen sollen in der Lage sein, Windows, iOS und Android mit Schadsoftware zu infizieren. 2018 setzte die Gruppe auf gefälschte Benachrichtigungen zu Chrome Updates.

Auf die Spur von Wolf Research kamen die Forscher über den Befehlsserver von WolfRAT. Offiziell sei Wolf Research seit einiger Zeit geschlossen. Ehemalige Mitglieder seien aber wahrscheinlich noch aktiv. Zudem fanden die Forscher Bezüge zu einem in Zypern ansässigen Anbieter von Überwachungstechnik namens Coralco Tech.

Der Schadsoftware an sich bescheinigten die Forscher keine gute Qualität. Es gebe Überscheidungen im Code, ungenutzten Code und nicht genutzte Funktionen, Fehler bei der Verwaltung von Instanz-Klassen und instabile Pakete. Zudem hätten es sich die Hintermänner sehr einfach gemacht und vorhandene Opern-Source-Software zum Teil per Drag and Drop eingefügt.

„Wolf Research behauptete, ihren Betrieb eingestellt zu haben, aber wir sehen deutlich, dass ihre bisherige Arbeit unter einem Deckmantel weitergeführt wird“, kommentierten die Forscher. „Die Fähigkeit, diese Art von nachrichtendienstlichen Aktivitäten mit Hilfe von Telefonen durchzuführen, stellt für den Betreiber einen enormen Gewinn dar. Die Chat-Details, WhatsApp-Aufzeichnungen, Messenger und SMS enthalten einige sensible Informationen, und die Menschen scheinen diese zu vergessen, wenn die Kommunikation auf ihrem Telefon stattfindet.“