Der Eset-Forscher Lukas Stefanko hat im Google Play Store sowie im Samsung Galaxy Store manipulierte Versionen der Messenger-Apps Signal und Telegram entdeckt. Sie enthalten den Trojaner BadBazaar, der über zahlreiche Funktionen verfügt, um Nutzer auszuspionieren und vertrauliche Daten zu stehlen.
Hinter den schädlichen Apps soll eine chinesische Hackergruppe namens Gref stecken. Sie soll zuvor den Trojaner BadBazaar gegen ethnische Minderheiten in China eingesetzt haben. Die neue Kampagne richtet sich Eset zufolge jedoch gegen Nutzer in Deutschland, Polen, den Niederlanden, der Ukraine, Spanien, Portugal, Hongkong und den USA.
BadBazaar ist unter anderem in der Lage, den genauen Standort eines Smartphones zu ermitteln und Anruflisten und SMS auszulesen und zu stehlen. Darüber hinaus kann der Trojaner Telefonate aufzeichnen, mit einer im Gerät integrierten Kamera Fotos aufnehmen sowie Kontakte, Dateien und Datenbanken stehlen.
In den beiden App-Marktplätzen werden die falschen Messenger-Apps unter den Namen Signal Plus Messenger und FlyGram angeboten. Bei beiden Apps handelt es sich um manipulierte Versionen von Signal und Telegram, basierend auf ihrem als Open Source verfügbaren Quellcode. Um beide Apps legitim erscheinen zu lassen, haben die Hintermänner sogar Website unter den Domains signalplus.[org] und flygram.[org] eingerichtet.
Eset warnt vor allem vor einer Backup-Funktion von Flygram, mit der Opfer ihre Daten direkt an einen von der Gref-Gruppe kontrollierten Server schicken. Während die Gesamtzahl der Opfer dieser Kampagne unbekannt ist, fand Eset heraus, dass mindestens 13.953 Flygram-Nutzer die Backup-Funktion aktiviert haben.
Der Signal-Klon soll indes vorrangig Signal-Daten von Nutzern sammeln. Außerdem sind die Hintermänner in der Lage, das Signal-Konto eines Opfers mit einem von ihnen kontrollierten Gerät zu verknüpfen. So erhalten die Angreifer auch künftig Zugriff auf Nachrichten ihrer Opfer. Dies geschieht laut Eset ohne Wissen der Nutzer, da es den Hackern gelungen ist, das offizielle Registrierungsverfahren für diese Funktion zu umgehen.
Eset weist darauf hin, dass beide Apps bereits aus dem Google Play Store entfernt wurden. Auch im Samsung Galaxy Store sind sie, zumindest in Deutschland, nicht mehr abrufbar.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…
Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…
Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…