Categories: MobileMobile OS

WolfRAT: Android-Malware greift Apps von WhatsApp und Facebook Messenger an

Forscher von Cisco Talos haben einen neuen Remote-Access-Trojaner für Android namens WolfRAT entdeckt. Es handelt sich offenbar um eine Variante von DenDroid, dessen Quellcode 2015 durchgesickert war. Derzeit nimmt WolfRAT Nutzer von Messaging-Anwendungen wie WhatsApp, Facebook Messenger und Line ins Visier – vor allem in Thailand.

Verbreitet wird WolfRAT als angebliches Update für Adobe Flash oder Google Play. Fällt ein Nutzer auf die Täuschung herein, wird der Trojaner auf seinem Android-Gerät installiert. Anschließend sammelt WolfRAT diverse Gerätedaten. Die Malware kann aber auch Fotos und Videos aufnehmen, SMS-Nachrichten auslesen, Audio aufzeichnen und Daten an einen Befehlsserver im Internet übertragen.

Wird jedoch eine Messenger-App wie WhatsApp benutzt, startet die Malware eine Screenshot-Funktion und zeichnet alle 50 Sekunden den Bildschirminhalt auf. Der Screenrecorder wird beendet, sobald WhatsApp wieder geschlossen wird.

Die Talos-Forscher Warren Mercer, Paul Rascagneres und Vitor Ventura vermuten hinter WolfRAT den Spyware-Händler Wolf Research. Laut VirusTotal verkauft die Organisation Überwachungstechnologien an Regierungen. Seine Lösungen sollen in der Lage sein, Windows, iOS und Android mit Schadsoftware zu infizieren. 2018 setzte die Gruppe auf gefälschte Benachrichtigungen zu Chrome Updates.

Auf die Spur von Wolf Research kamen die Forscher über den Befehlsserver von WolfRAT. Offiziell sei Wolf Research seit einiger Zeit geschlossen. Ehemalige Mitglieder seien aber wahrscheinlich noch aktiv. Zudem fanden die Forscher Bezüge zu einem in Zypern ansässigen Anbieter von Überwachungstechnik namens Coralco Tech.

Der Schadsoftware an sich bescheinigten die Forscher keine gute Qualität. Es gebe Überscheidungen im Code, ungenutzten Code und nicht genutzte Funktionen, Fehler bei der Verwaltung von Instanz-Klassen und instabile Pakete. Zudem hätten es sich die Hintermänner sehr einfach gemacht und vorhandene Opern-Source-Software zum Teil per Drag and Drop eingefügt.

„Wolf Research behauptete, ihren Betrieb eingestellt zu haben, aber wir sehen deutlich, dass ihre bisherige Arbeit unter einem Deckmantel weitergeführt wird“, kommentierten die Forscher. „Die Fähigkeit, diese Art von nachrichtendienstlichen Aktivitäten mit Hilfe von Telefonen durchzuführen, stellt für den Betreiber einen enormen Gewinn dar. Die Chat-Details, WhatsApp-Aufzeichnungen, Messenger und SMS enthalten einige sensible Informationen, und die Menschen scheinen diese zu vergessen, wenn die Kommunikation auf ihrem Telefon stattfindet.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago