Die Forscher des IT-Sicherheitsherstellers ESET entdeckten gefährliche Kopien der beliebten Messenger Apps WhatsApp und Telegram. Alle haben es auf die Kryptowährungen und Wallets ihrer Opfer abgesehen. Die Verbreitung der trojanisierten App-Versionen erfolgt über Dutzende von nachgeahmten Telegram- und WhatsApp-Websites, die insbesondere auf Android- und Windows-Nutzer abzielen. Bei den meisten der identifizierten bösartigen Apps handelt es sich um sogenannte Clipper: eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Darüber hinaus verwenden einige dieser Anwendungen die optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind.
Die Angreifer platzierten zunächst Google-Anzeigen, die zu betrügerischen YouTube-Kanälen führten. Diese wiederum leiteten dann die Betrachter auf gefälschte Telegram- und WhatsApp-Webseiten um. ESET Research meldete die betrügerischen Anzeigen und die damit verknüpften YouTube-Kanäle umgehend an Google, das alle umgehend abschaltete. Es ist jedoch davon auszugehen, dass neue Werbung geschaltet wird oder bereits wurde.
„Das Hauptziel der Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen. Alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen wurden durch Adressen ersetzt, die den Angreifern gehören. Zusätzlich zu den trojanisierten WhatsApp- und Telegram-Apps für Android haben wir auch Windows-Versionen derselben Apps gefunden“, sagt ESET-Forscher Lukas Stefanko.
Obwohl sie den gleichen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Erstmals nutzen die analysierten Android-Clipper OCR (optical character recognition), um Text aus Screenshots und gespeicherten Fotos auf dem Gerät des Opfers zu extrahieren: zum Beispiel, um den Zugangsschlüssel für das Wallet (Seed-Phrase) herauszufinden. Sie besteht aus einer beliebigen Kombination von 12 oder 24 Wörtern und sichert die gespeicherten Coins gegen den Zugriff Dritter. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen Geldbörse stehlen.
In einem anderen Fall tauschte die Malware während der Chat-Kommunikation einfach die Adresse der Kryptowährungs-Geldbörse des Opfers gegen die Adresse des Angreifers aus. Dabei wurden die Adressen entweder fest codiert oder dynamisch vom Server des Angreifers abgerufen. In einem anderen Fall überwachte die Malware die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die gesamte Nachricht an den Server des Angreifers.
ESET Research fand auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote Access Trojanern (RATs) gebündelt waren. Abweichend vom üblichen Muster besteht eines der Windows-bezogenen Malware-Bündel nicht aus Clippern, sondern aus RATs, die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Geldbörsen für Kryptowährungen zu stehlen, ohne den Anwendungsfluss abzufangen.
„Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter“, rät Stefanko. „Wenn Sie vermuten, dass Ihre Telegram-App für Windows bösartig ist, sollten Sie eine Sicherheitslösung verwenden, die die Bedrohung erkennt und sie für Sie entfernt. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich.“
Ausgehend von der Sprache, die in den gefälschten Apps verwendet wird, scheint es, dass die dahinter stehenden Betreiber hauptsächlich chinesischsprachige Nutzer ansprechen. Es kann aber nicht ausgeschlossen werden, dass die Angreifer auch in Europa aktiv sind. Einige der gefälschten Whatsapp- und Telegram-Seiten waren in englischer Sprache.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…